目前我正在使用CKEditor文本编辑器。它逃脱了HTML,但我想阻止它从服务器端。 什么是防止XSS的最佳方法我们在Python / Django中使用文本编辑器?
答案 0 :(得分:0)
自动或明确escape your output in templates,例如
{% autoescape on %}
{{ body }}
{% endautoescape %}
或
{{ body|escape }}
如果你只想逃避JavaScript,那么“正确”的方法就是将HTML转换为DOM,遍历节点树,并删除任何脚本元素。一个不太优雅和不完美的解决方案是使用正则表达式来替换任何脚本标记。