Sanieren von HTML in übermittelten Formulardaten

Gibt es eine generische "form sanitizer", die ich verwenden können, um sicherzustellen, dass alle html/scripting ist deaktiviert entfernt die vorgelegten form? form.clean() scheint nicht zu wissen - html-tags sind alle noch in cleaned_data. Oder eigentlich tun das alles manuell (und überschreiben Sie die clean() Methode für das Formular) ist meine einzige option?

InformationsquelleAutor der Frage abolotnov | 2011-04-12

  1. 26

    Django kommt mit einer template-filter genannt striptagsdie Sie verwenden können, in einer Vorlage:

    value|striptags

    Er verwendet die Funktion strip_tags was lebt in django.utils.html. Sie können es verwenden auch, um zu reinigen Sie Ihre Daten in das Formular:

    from django.utils.html import strip_tags
message = strip_tags(form.cleaned_data['message'])

    InformationsquelleAutor der Antwort Bernhard Vallant

  2. 44

    strip_tags entfernt tatsächlich die tags aus der Eingabe, die nicht sein kann, was Sie wollen.

    Zur Konvertierung einer Zeichenfolge in einen "sicheren " string" durch Spitze Klammern, kaufmännisches und sowie Anführungszeichen umgewandelt, um die entsprechenden HTML-entities, die Sie verwenden können, die Flucht filter:

    from django.utils.html import escape
message = escape(form.cleaned_data['message'])

    InformationsquelleAutor der Antwort simao

  3. 15

    Alternativ gibt es auch eine Python-Bibliothek namens Bleichmittel:

    Bleach ist ein whitelist-basierten HTML-Bereinigung und text linkification-Bibliothek. Es wurde entwickelt, um nicht Vertrauenswürdige Benutzer-Eingabe mit einige HTML.

    Weil Bleichmittel verwendet html5lib zu analysieren, Dokument-Fragmente der gleichen Weise Browser, er ist extrem widerstandsfähig, um unbekannte Angriffe-viel mehr als regular-expression-basierte Desinfektionsmittel.

    Beispiel:

    import bleach
message = bleach.clean(form.cleaned_data['message'], 
                       tags=ALLOWED_TAGS,
                       attributes=ALLOWED_ATTRIBUTES, 
                       styles=ALLOWED_STYLES, 
                       strip=False, strip_comments=True)

    InformationsquelleAutor der Antwort Wtower

Schreibe einen Kommentar