转义标签而不转换字符

时间:2012-11-22 03:53:01

标签: python html email jinja2

我正在使用jinja2从网络联系表单安全呈现电子邮件模板。问题是字符&,<,>,'和“被转换为HTML安全序列。所以

  

这就是所有人!

变为

That's all folks!

我想删除所有HTML标记,以防止XSS没有任何字符编码。这可能在jinja2吗?

注意:条带标记utility也会转换字符。

1 个答案:

答案 0 :(得分:3)

我认为这不可行。您将如何处理That's only true when x<y and x>0之类的消息。 <>之间的部分是邮件的一部分,但可以解释为(带有borked的)HTML标记。

由浏览器读取That&#39;s all folks!并通过解码字符正确显示。