Sanieren von HTML in übermittelten Formulardaten
Gibt es eine generische "form sanitizer", die ich verwenden können, um sicherzustellen, dass alle html/scripting ist deaktiviert entfernt die vorgelegten form? form.clean() scheint nicht zu wissen - html-tags sind alle noch in cleaned_data. Oder eigentlich tun das alles manuell (und überschreiben Sie die clean() Methode für das Formular) ist meine einzige option?
InformationsquelleAutor der Frage abolotnov | 2011-04-12
Du musst angemeldet sein, um einen Kommentar abzugeben.
Django kommt mit einer template-filter genannt striptagsdie Sie verwenden können, in einer Vorlage:
Er verwendet die Funktion
strip_tags
was lebt indjango.utils.html
. Sie können es verwenden auch, um zu reinigen Sie Ihre Daten in das Formular:InformationsquelleAutor der Antwort Bernhard Vallant
strip_tags entfernt tatsächlich die tags aus der Eingabe, die nicht sein kann, was Sie wollen.
Zur Konvertierung einer Zeichenfolge in einen "sicheren " string" durch Spitze Klammern, kaufmännisches und sowie Anführungszeichen umgewandelt, um die entsprechenden HTML-entities, die Sie verwenden können, die Flucht filter:
InformationsquelleAutor der Antwort simao
Alternativ gibt es auch eine Python-Bibliothek namens Bleichmittel:
Beispiel:
InformationsquelleAutor der Antwort Wtower