我正在使用jinja2从网络联系表单安全呈现电子邮件模板。问题是字符&,<,>,'和“被转换为HTML安全序列。所以
这就是所有人!
变为
That's all folks!
我想删除所有HTML标记,以防止XSS没有任何字符编码。这可能在jinja2吗?
注意:条带标记utility也会转换字符。
答案 0 :(得分:3)
我认为这不可行。您将如何处理That's only true when x<y and x>0之类的消息。 <和>之间的部分是邮件的一部分,但可以解释为(带有borked的)HTML标记。
由浏览器读取That's all folks!并通过解码字符正确显示。