我正在研究具有各种框架和CMS的XSS,以及它们是否提供了防范它的方法(不仅仅是以编程方式避免这种情况)。
我知道在Djangos模板语言中你可以将变量指定为|safe
我希望能够允许实际安全的html标签,这样用户就可以格式化文本(简单的东西等),但是去掉像这样的东西,onload属性等。
我想知道Django是否推荐了一种方法,而不仅仅是使用Python。我希望这是有道理的
杰森
答案 0 :(得分:0)
Django的核心概念之一是它是Python,任何Python lib都可以与Django一起使用。除非有充分的理由,否则他们不会重新创造轮子。我相信HTML擦洗/消毒是他们决定不重新创建的事情之一。
BeautifulSoup是您想要查看任何清理/清理的python库。