[英]Django: allow safe html tags
我正在研究具有各種框架和CMS的XSS,以及它們是否提供了防止XSS的方法(而不僅僅是通過編程避免這種情況)。
我知道,在Django的模板語言中,您可以將變量指定為|safe
我希望能夠允許實際上是安全的html標簽,以便用戶可以設置文本格式(諸如類似的簡單內容),但是去除諸如onload屬性之類的內容。
我想知道Django是否推薦這樣做的方法,而不僅僅是使用Python。 我希望這是有道理的
傑森
Django的核心概念之一是它是Python,任何Python庫都應可用於Django。 除非有充分的理由,否則他們不會重新制造輪子。 我相信HTML清理/清理是他們決定不重新創建的事情之一。
BeautifulSoup是您要查找的任何清理/消毒的python庫。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.