używam TinyMCE edytor fileds textarea w Django formach.Korzystanie bezpieczny filtr w Django dla bogatych pól tekstowych
Teraz, aby wyświetlać użytkownikowi tekst sformatowany, zmuszony jestem użyć filtru "bezpiecznego" w szablonach Django, aby tekst w formacie HTML mógł być wyświetlany w przeglądarce.
Załóżmy, że JavaScript jest wyłączony w przeglądarce użytkownika, TinyMCE nie załaduje się, a użytkownik może przekazać <script>
lub inne znaczniki XSS z takiego pola textarea. Taki HTML nie będzie bezpieczny do wyświetlenia użytkownikowi.
Jak dbać o takiej niebezpiecznej HTML tekst, który nie pochodzi z TinyMCE?
Arkusz oszustów XSS jest dobrym przykładem tego, dlaczego wdrażanie procedur czyszczenia HTML jest procesem dość daremnym. Dodanie znaczników html na białej liście jest jedynym sposobem uniknięcia tego. –
+1 za wspaniały link.Myślę, że moje przyszłe aplikacje będą miały do tego mniej dziur. Dziękuję Ci. –