おそらくマークダウンを使用して、ユーザーがリッチテキストのコメントを残せるようにしたいと考えています。Reddit で使用されているライブラリをインストールしましたが、昨年発生した JavaScript インジェクション攻撃については、特に攻撃の詳細がまだはっきりしていないため、懸念されています。コメントのセキュリティについて心配する必要はありますか? reddit をダウンさせたのと同じ欠陥をチェックするためにシステムに入れることができるテスト文字列はありますか?
1173 次
3 に答える
4
Python-Markdown(多かれ少なかれ「標準」)には、htmlタグをエスケープする「セーフモード」機能があります。これは、ほとんどすべてのHTMLインジェクション攻撃に対抗するのに十分なはずです。
于 2010-03-02T10:52:08.697 に答える
4
現在、reddit は割引マークダウン ライブラリを使用しています。
于 2010-03-06T17:26:13.483 に答える
2
他の回答では、Python-Markdown のセーフ モードについて言及していますが、現在は推奨されていません。Python-Markdown の作成者は、次のように述べています。
「セーフモード」は、後方比較のために引き続き使用する不適切な名前の選択です (古いコードは新しいバージョンでも動作します)。それが実際にしているのは、マークアップなしモードです。言い換えれば、生の html を許可しない方法にすぎず、実際に安全性を保証するものではありません。
彼らは現在、 Bleachのような HTML サニタイザーを使用して Markdown 出力をサニタイズすることを推奨しています。mdx_bleachは、まさにそれを行う Python-Markdown 拡張機能です。免責事項: 私はこの拡張機能の作成者です。
Bleach はブラウザーと同じように html5lib を使用してドキュメントのフラグメントを解析するため、未知の攻撃に対して非常に回復力があり、正規表現ベースのサニタイザーよりもはるかに優れています。
于 2015-04-16T10:38:26.967 に答える