我想在我的应用程序中使用CKEditor,用户(任何人)可以发布文章,但我不确定它是否安全。我必须在django模板中渲染时将CKEditor中的文本标记为“安全”以获得预期结果。根据Django文档,不建议关闭来自未知来源的转义输入文本。甚至CKEditor都提到输入应该是一个干净的HTML。
可以将CKEditor用于我的用例吗?如果是这样,我需要一些建议来避免任何安全问题。谢谢!
答案 0 :(得分:2)
您可以编写一个CKEditor小部件来清理您的不受信任的输入,例如:添加后的Bleach库。根据您的需求调整标签:
import bleach
from ckeditor.fields import RichTextField
ALLOWED_TAGS = set(bleach.ALLOWED_TAGS + [
'a', 'blockquote', 'code', 'del', 'dd', 'dl', 'dt',
'h1', 'h2', 'h3', 'h3', 'h4', 'h5', 'i', 'img', 'kbd',
'li', 'ol', 'ul', 'p', 'pre', 's', 'sup', 'sub', 'em',
'strong', 'strike', 'ul', 'br', 'hr' ])
ALLOWED_STYLES = set(bleach.ALLOWED_STYLES + [
'color', 'background-color', 'font', 'font-weight',
'height', 'max-height', 'min-height',
'width', 'max-width', 'min-width', ])
ALLOWED_ATTRIBUTES = {}
ALLOWED_ATTRIBUTES.update(bleach.ALLOWED_ATTRIBUTES)
ALLOWED_ATTRIBUTES.update({
'*': ['class', 'title'],
'a': ['href', 'rel'],
'img': ['alt', 'src', 'width', 'height', 'align', 'style'],
})
def bleach_clean(html):
""" Cleans given HTML with bleach.clean() """
return bleach.clean(
html,
tags=ALLOWED_TAGS,
attributes=ALLOWED_ATTRIBUTES,
styles=ALLOWED_STYLES,
strip=True
)
class RichTextBleachField(RichTextField):
def __init__(self, *args, **kwargs):
super(RichTextBleachField, self).__init__(*args, **kwargs)
def to_python(self, value):
return bleach_clean(value)
我们将此用于一些安全性受限的项目,并且运行良好。 Bleach还知道如何修复损坏的HTML,因此我们可以使用非常容易使用的模型和表单来自由验证。