Sto usando l'editor TinyMCE per i campi textarea nei moduli Django.Uso del filtro sicuro in Django per i campi rich text
Ora, per visualizzare il rich text all'utente, sono obbligato a utilizzare il filtro "sicuro" nei modelli Django in modo che il rich text HTML possa essere visualizzato sul browser.
è disabilitato Supponiamo JavaScript sul browser dell'utente, TinyMCE non verranno caricati e l'utente potrebbe passare <script>
o altro XSS tag da un tale campo textarea. Tale codice HTML non sarà sicuro da visualizzare all'utente.
Come mi prendo cura di un testo HTML non sicuro che non proviene da TinyMCE?
Il cheat XSS è un buon esempio del perché l'implementazione di routine di pulizia HTML è un processo abbastanza inutile. La whitelist dei tag html è davvero l'unico modo per evitarlo completamente. –
+1 per il link meraviglioso.Penso che le mie future app avranno meno buchi per questo. Grazie. –