1

現在、CKEditor テキスト エディターを使用しています。エスケープのhtmlですが、サーバー側からは防止したいです。Python/Django でテキスト エディターを使用している場合、XSS を防止する最善の方法は何ですか?

4

1 に答える 1

0

テンプレート内の出力を自動的または明示的にエスケープします。

{% autoescape on %}
    {{ body }}
{% endautoescape %}

また

{{ body|escape }}

JavaScript だけをエスケープしたい場合は、HTML を DOM に変換し、ノードのツリーをたどってスクリプト要素を削除するのが「正しい」方法です。洗練されていない不完全な解決策は、正規表現を使用してスクリプト タグを置き換えることです。

于 2013-09-11T20:42:07.140 に答える