我正在开发一个Django应用程序,用户上传空格/制表符/逗号分隔的文本文件。我在浏览器中显示文本,然后用户可以交互式地解析在更改设置时用css突出显示的分隔值列。 (只显示一个样本而不是整个文件!)
要突出显示选项,我在文本中和文本周围插入html / css代码,但必须'mark_safe'文本才能获得要呈现的html / css。我认为这会打开安全问题,即使是我,一个完整的菜鸟可以在我的输入文件中插入html并让它进行渲染。
我的问题: 有没有什么东西可以用来在我上传之后和浏览器中呈现之前立即从文本文件中删除html?会剥离'<'和'>'出来就够了?如果需要,可以禁用.js?
据我所知,我可以采取其他有关文件上传的安全措施。但是,我正在解决我的特定问题,我将'marking_safe'输入文本然后呈现给浏览器。