1
对于我正在构建的网站,我希望用户能够为视频和音频网站提供嵌入代码。我知道这会带来安全风险,所以我想在Django中找出如何过滤所提供的html,以便只允许某些标记和某些站点。Django,允许用户使用嵌入/对象html和XSS保护
有没有人有任何提及我如何能完成这与Django?
A
回答
1
使用lightweight markup language然后转换为HTML可能会更好。这可以防止他们玩游戏来绕过任何HTML检查。完全正确地检查HTML'gotchas'是非常困难的。
这样做是从的学校排序这是不明确允许的是禁止。
相关问题
- 1. 允许使用HTMLPurifier嵌入/对象/参数HTML标签?
- 2. 当您允许用户发布RAW嵌入代码时,如何保护自己免受XSS的侵害?
- 3. 如何保护允许用户插入JavaScript的应用程序?
- 4. 如何避免XSS和CSS,但允许用户使用一些HTML标签?
- 5. 如何使用Django Piston和CSRF保护允许POST restful web服务调用?
- 6. 用户可编辑的HTML XSS保护(tumblr like)
- 7. 确保允许Apache用户使用shell
- 8. 允许用户编辑和存储HTML
- 9. 我的反XSS方法是否允许在PHP中使用HTML?
- 10. 允许前端用户访问受保护文件
- 11. NGINX:允许用户自己密码保护目录?
- 12. 沙箱保护允许用户上传风格的网站
- 13. 针对用户textarea输入的保护
- 14. SQL - 允许用户使用
- 15. 允许用户使用Ansible
- 16. Excel 2003保护工作表,不允许Excel 2000用户使用自动筛选
- 17. 允许用户使用URL令牌访问受保护的页面
- 18. 使用.htpasswd保护文件夹,但允许php下载,同时保护密码
- 19. 验证XSS和允许的jQuery
- 20. 允许IIS上的XSS 7
- 21. Django - 允许重复的用户名
- 22. 保护针对XSS的JQuery代码
- 23. 对象描述中是否允许HTML?
- 24. Sinatra应用程序中的XSS保护
- 25. 用动态生成的JavaScript保护XSS
- 26. HTML选择,用文本嵌入对象?
- 27. Django Admin嵌入对象
- 28. 使用Javascript保护swf对象
- 29. 密码保护目录,但仍允许在主页上使用
- 30. 不允许使用JWT令牌来保护GraphQL端点
如果您使用creoleparser(http://pypi.python.org/pypi/Creoleparser/0.6.1),您可以创建生成嵌入代码的宏(例如,定义一个'youtube'宏,以便人们可以使用'<>'在他们的标记中,'googlevideo'宏等)。 –
LeafStorm
2010-01-07 22:41:57
@LeafStorm:感谢您的链接。我以前没有见过这个特别的。 – 2010-01-07 22:54:02
将XSS漏洞嵌入到轻量级标记语言中是完全可能的。以下是MarkDown的一个例子:http://michelf.com/weblog/2010/markdown-and-xss/ – 2011-07-25 22:52:54