質問する
658 次
1 に答える
0
入力を Markdown に渡す前にエスケープしないでください。お気づきのように、これは場合によってはユーザー入力を壊します。また、セキュリティを保証するものではありません。たとえば、" [clickme](javascript:alert%28%22xss%22%29)" を考えてみてください。
代わりに、Markdown をセーフ モードで使用するのが正しい方法です。その方法については別の場所で書いていますが、Django での短いバージョンは{{ text | markdown:"safe" }}. (または、HTML Purifier などの HTML サニタイザーを Markdown プロセッサの出力に適用することもできます。)
于 2012-05-07T03:09:32.593 に答える