Python和Django。从html中删除所有js

我想显示用户输入的html（来自所见即所得）。Python和Django。从html中删除所有js

但我有一些从HTML中删除js的问题。

这是我的观点：

def bad_view(request): 
    # in real project we got it from user 
    bad_html = '<p onclick="alert(0)">:((</p><script>alert(0);</script>' 
    return render(request, 'template.html', {'bad_html': bad_html})

下面的代码在我的模板：

{{ bad_html|safe }}

bad_html应该是这样的<p onclick="">:((</p>

什么是最好方法，从删除所有的JS这个HTML？

对于删除<script>我可以使用正则表达式，但onclick处理程序（和其他js处理程序）呢？

感谢您的建议！

来源

2013-04-25 Tom

你切不可想想**去掉**。你必须考虑**允许**。它更安全。 – antoyo 2013-04-25 16:26:00

搜索“python html sanitizer”，选择你最喜欢的一个。但是Antoyo是对的。积极地允许尽可能少的人力。（如在白名单中的个人属性级别及其值） – millimoose 2013-04-25 16:48:10

更改此： bad_html ='

：（（

':) :) – 2013-04-25 21:25:41

我建议用漂白剂Python库，它的目的是处理各种特殊情况，是一个完整的解决方案为您的问题

http://bleach.readthedocs.org/en/latest/index.html

来源

2013-04-25 17:27:27 armonge

谢谢！你真的帮我 – Tom 2013-05-02 12:10:10

我可以为django建议一个预先构建的解决方案https://www.djangopackages.com/grids/g/forms/ 大多数都包含某些形式的过滤器示例。我实际上正在自己研究TinyMCE。

的更多信息请点击这里Using safe filter in Django for rich text fields

来源

2013-04-25 16:45:21 Vangel

Python和Django。从html中删除所有js

回答

相关问题