Python中文网 - 问答频道, 解决您学习工作中的Python难题和Bug
Python常见问题
我目前正在使用django-ckeditor来允许用户为他们的配置文件输入丰富的描述。在
然而,这为恶意用户打开了大门,他们将尝试进行XSS和其他代码注入。在
我想知道最好的办法是什么?在
我看了Python HTML sanitizer / scrubber / filter,但是这些解决方案似乎去掉了诸如“style=”之类的属性,这与ckeditor的用法完全矛盾,例如,彩色文本或其他依赖这些属性的内容。在
我是否应该使用其他工具而不是ckeditor?或者我能做什么?在
我的主要目标是允许用户在其“个人资料”中显示图片、彩色文本等
Tags: django代码用户文本ckeditor属性html配置文件
热门问题
- 无法使用Django/mongoengine连接到MongoDB(身份验证失败)
- 无法使用Django\u mssql\u后端迁移到外部hos
- 无法使用Django&Python3.4连接到MySql
- 无法使用Django+nginx上载媒体文件
- 无法使用Django1.6导入名称模式
- 无法使用Django1.7和mongodb登录管理站点
- 无法使用Djangoadmin创建项目,进程使用了错误的路径,因为我事先安装了错误的Python
- 无法使用Djangockedi验证CBV中的字段
- 无法使用Djangocketditor上载图像(错误400)
- 无法使用Djangocron进行函数调用
- 无法使用Djangofiler djang上载文件
- 无法使用Djangokronos
- 无法使用Djangomssql provid
- 无法使用Djangomssql连接到带有Django 1.11的MS SQL Server 2016
- 无法使用Djangomssq迁移Django数据库
- 无法使用Djangonox创建用户
- 无法使用Djangopyodb从Django查询SQL Server
- 无法使用Djangopython3ldap连接到ldap
- 无法使用Djangoredis连接到redis
- 无法使用Django中的FK创建新表
热门文章
- Python覆盖写入文件
- 怎样创建一个 Python 列表?
- Python3 List append()方法使用
- 派森语言
- Python List pop()方法
- Python Django Web典型模块开发实战
- Python input() 函数
- Python3 列表(list) clear()方法
- Python游戏编程入门
- 如何创建一个空的set?
- python如何定义(创建)一个字符串
- Python标准库 [The Python Standard Library by Ex
- Python网络数据爬取及分析从入门到精通(分析篇)
- Python3 for 循环语句
- Python List insert() 方法
- Python 字典(Dictionary) update()方法
- Python编程无师自通 专业程序员的养成
- Python3 List count()方法
- Python 网络爬虫实战 [Web Crawler With Python]
- Python Cookbook(第2版)中文版
你应该决定并写一个“白名单”什么是允许张贴。然后,彻底解析发布的数据并清除白名单中没有的所有内容。如果是某种样式-解析样式属性并删除除白名单外的所有内容。在
例如,你可以用旧的好的美颜组合来做。在
当然,不要将
<script>标记或onSOMETHING处理程序列为白名单,它们通常带来的痛苦大于收益。在相关问题 更多 >
编程相关推荐