Thư viện an toàn Markdown Python

Question

Tôi muốn cho phép người dùng để lại nhận xét văn bản đa dạng thức, có thể sử dụng đánh dấu. Tôi đã cài đặt các thư viện được sử dụng trên Reddit, nhưng lo ngại về tấn công javascript injection xảy ra vào năm ngoái, đặc biệt là vì tôi vẫn chưa rõ ràng về các chi tiết về cách tấn công được thực hiện. Tôi có nên vẫn lo ngại về bảo mật bình luận không? Có một chuỗi kiểm tra mà tôi có thể đặt qua hệ thống của mình để kiểm tra các lỗi tương tự đã làm giảm reddit không?

Answer 1

Python-Markdown - loại 'chuẩn' nhiều hơn hoặc ít hơn - có tính năng 'chế độ an toàn' thoát thẻ html. Điều đó là đủ để chống lại hầu hết tất cả các cuộc tấn công HTML injection.

Answer 2

reddit sử dụng discount markdown library ngay bây giờ.

Answer 3

Các câu trả lời khác đề cập đến chế độ an toàn của Python-Markdown nhưng hiện không được chấp nhận. Các tác giả của Python-Markdown đã được trích dẫn nói:

"an toàn chế độ" là một tên lựa chọn người nghèo mà chúng ta tiếp tục sử dụng cho lùi so sánh (mã cũ vẫn hoạt động với các phiên bản mới hơn của chúng tôi). Điều thực sự là là chế độ không đánh dấu. Nói cách khác, nó chỉ là một cách để không cho phép html thô và thực sự không đảm bảo an toàn.

Hiện tại, họ khuyên bạn nên sử dụng trình vệ sinh HTML như Bleach để vệ sinh đầu ra Đánh dấu. mdx_bleach là một tiện ích mở rộng Python-Markdown thực hiện điều đó. Disclaimer: Tôi là tác giả của phần mở rộng này.

Vì nó sử dụng html5lib để phân tích các đoạn tài liệu giống như cách trình duyệt thực hiện, Bleach cực kỳ linh hoạt với các cuộc tấn công không xác định, nhiều hơn so với các công cụ vệ sinh thông thường.