2

jinja2を使用して、Web連絡フォームからの電子メールメッセージのテンプレートを安全にレンダリングしています。問題は、文字&、<、>、'、および"がHTMLセーフシーケンスに変換されることです。

それはすべての人々です!

になります

That&#39;s all folks!

HTMLタグを削除して、文字エンコードなしでXSSを防止したいと思います。jinja2でそれは可能ですか?

注:striptagsユーティリティも文字を変換します。

4

1 に答える 1

3

それは不可能だと思います。などのメッセージをどのように処理しますかThat's only true when x<y and x>0<との間の部分>はメッセージの一部ですが、(中断された)HTMLタグとして解釈される可能性があります。

That&#39;s all folks!文字をデコードして正しく読み取り、表示するのはブラウザ次第です。

于 2012-11-22T04:01:27.083 に答える