1
對於我正在構建的網站,我希望用戶能夠爲視頻和音頻網站提供嵌入代碼。我知道這會帶來安全風險,所以我想在Django中找出如何過濾所提供的html,以便只允許某些標記和某些站點。Django,允許用戶使用嵌入/對象html和XSS保護
有沒有人有任何提及我如何能完成這與Django?
A
回答
1
使用lightweight markup language然後轉換爲HTML可能會更好。這可以防止他們玩遊戲來繞過任何HTML檢查。完全正確地檢查HTML'gotchas'是非常困難的。
這樣做是從的學校排序這是不明確允許的是禁止。
相關問題
- 1. 允許使用HTMLPurifier嵌入/對象/參數HTML標籤?
- 2. 當您允許用戶發佈RAW嵌入代碼時,如何保護自己免受XSS的侵害?
- 3. 如何保護允許用戶插入JavaScript的應用程序?
- 4. 如何避免XSS和CSS,但允許用戶使用一些HTML標籤?
- 5. 如何使用Django Piston和CSRF保護允許POST restful web服務調用?
- 6. 用戶可編輯的HTML XSS保護(tumblr like)
- 7. 確保允許Apache用戶使用shell
- 8. 允許用戶編輯和存儲HTML
- 9. 我的反XSS方法是否允許在PHP中使用HTML?
- 10. 允許前端用戶訪問受保護文件
- 11. NGINX:允許用戶自己密碼保護目錄?
- 12. 沙箱保護允許用戶上傳風格的網站
- 13. 針對用戶textarea輸入的保護
- 14. SQL - 允許用戶使用
- 15. 允許用戶使用Ansible
- 16. Excel 2003保護工作表,不允許Excel 2000用戶使用自動篩選
- 17. 允許用戶使用URL令牌訪問受保護的頁面
- 18. 使用.htpasswd保護文件夾,但允許php下載,同時保護密碼
- 19. 驗證XSS和允許的jQuery
- 20. 允許IIS上的XSS 7
- 21. Django - 允許重複的用戶名
- 22. 保護針對XSS的JQuery代碼
- 23. 對象描述中是否允許HTML?
- 24. Sinatra應用程序中的XSS保護
- 25. 用動態生成的JavaScript保護XSS
- 26. HTML選擇,用文本嵌入對象?
- 27. Django Admin嵌入對象
- 28. 使用Javascript保護swf對象
- 29. 密碼保護目錄,但仍允許在主頁上使用
- 30. 不允許使用JWT令牌來保護GraphQL端點
如果您使用creoleparser(http://pypi.python.org/pypi/Creoleparser/0.6.1),您可以創建生成嵌入代碼的宏(例如,定義一個'youtube'宏,以便人們可以使用'<>'在他們的標記中,'googlevideo'宏等)。 –
LeafStorm
2010-01-07 22:41:57
@LeafStorm:感謝您的鏈接。我以前沒有見過這個特別的。 – 2010-01-07 22:54:02
將XSS漏洞嵌入到輕量級標記語言中是完全可能的。以下是MarkDown的一個例子:http://michelf.com/weblog/2010/markdown-and-xss/ – 2011-07-25 22:52:54