Django/Python: Chuyển đổi Markdown thành HTML an toàn

Question

Tôi chấp nhận Markdown và cần chuyển đổi nó thành HTML để hiển thị an toàn ở Django. Ngay bây giờ tôi đang chấp nhận form.cleaned_data và chuyển đổi nó sang HTML với:

import markdown 
html_body = markdown.markdown(body_markdown, safe_mode=True) 
html_body = html_body.replace('[HTML_REMOVED]', '') 
return html_body 

Trong mẫu, tôi làm cho nó như:

{{ object.content|safe|capfirst }} 

Tuy nhiên nếu bạn đăng bài:

0;url=javascript:alert('hi');" http-equiv="refresh 

JS sẽ hiển thị để XSS có thể thực hiện được.

Answer 1

của django xây dựng trong safe template tag nghĩa là bạn đang đánh dấu biến như ok đến đầu ra, ví dụ: bạn biết rằng đó là nội dung được an toàn:

an toàn: Đánh dấu một chuỗi như không đòi hỏi HTML tiếp tục thoát ra trước khi đầu ra.

Django bởi default escapes your template variables:

Theo mặc định trong Django, mỗi mẫu tự động thoát đầu ra của mỗi thẻ biến. Cụ thể, cả năm nhân vật đang trốn thoát ...

nhưng nó sẽ không tước javascript xa cho bạn (nó sẽ chỉ làm cho nó không sử dụng được), bạn cần phải làm điều đó bằng tay với một mẫu thẻ:

Strip javascript code before rendering in django templates

Mặt khác, safe_mode trên markdown xoá mọi HTML trong văn bản bằng [HTML REMOVED] như bạn đã thấy.

Vì vậy, việc xóa safe là đủ để đảm bảo an toàn,

Câu hỏi mới nhất

• 1.
• 2.
• 3.
• 4.
• 5.
• 6.
• 7.
• 8.
• 9.
• 10.

 Các vấn đề liên quan

• 1.
• 2.
• 3.
• 4.
• 5.
• 6.
• 7.
• 8.
• 9.
• 10.