Python:安全呈现用户输入的 html 代码
Python: Safely render user entered html code
在我的 Python/Flask 应用程序中,我想安全地接受用户输入,然后将其呈现在另一个页面上。类似于此网站上所做的事情(参考 - https://meta.stackexchange.com/questions/1777/what-html-tags-are-allowed-on-stack-exchange-sites)。
是否有 python 库来正确清理此类输入,或者是否有一些简单的方法可以做到这一点?
看看 Mozilla 的 bleach。
例子
import bleach
html = """
<h1> Page Title </h1>
<script> alert("Boom!")</script>
"""
allowed_tags = [
'a', 'abbr', 'acronym', 'b', 'blockquote', 'br',
'code', 'dd', 'del', 'div', 'dl', 'dt', 'em',
'em', 'h1', 'h2', 'h3', 'hr', 'i', 'img', 'li',
'ol', 'p', 'pre', 's', 'strong', 'sub', 'sup',
'table', 'tbody', 'td', 'th', 'thead', 'tr', 'ul'
]
# Attributes deemed safe
allowed_attrs = {
'*': ['class'],
'a': ['href', 'rel'],
'img': ['src', 'alt']
}
# Sanitize the html using bleach &
# Convert text links to actual links
html_sanitized = bleach.clean(
html,
tags=allowed_tags,
attributes=allowed_attrs
)
print(html_sanitized)
输出
<h1> Page Title </h1>
<script> alert("Boom!")</script>
我在 Flask 扩展 (Flask-MDE) 的示例应用程序中使用了它。请随时查看 here.
在我的 Python/Flask 应用程序中,我想安全地接受用户输入,然后将其呈现在另一个页面上。类似于此网站上所做的事情(参考 - https://meta.stackexchange.com/questions/1777/what-html-tags-are-allowed-on-stack-exchange-sites)。
是否有 python 库来正确清理此类输入,或者是否有一些简单的方法可以做到这一点?
看看 Mozilla 的 bleach。
例子
import bleach
html = """
<h1> Page Title </h1>
<script> alert("Boom!")</script>
"""
allowed_tags = [
'a', 'abbr', 'acronym', 'b', 'blockquote', 'br',
'code', 'dd', 'del', 'div', 'dl', 'dt', 'em',
'em', 'h1', 'h2', 'h3', 'hr', 'i', 'img', 'li',
'ol', 'p', 'pre', 's', 'strong', 'sub', 'sup',
'table', 'tbody', 'td', 'th', 'thead', 'tr', 'ul'
]
# Attributes deemed safe
allowed_attrs = {
'*': ['class'],
'a': ['href', 'rel'],
'img': ['src', 'alt']
}
# Sanitize the html using bleach &
# Convert text links to actual links
html_sanitized = bleach.clean(
html,
tags=allowed_tags,
attributes=allowed_attrs
)
print(html_sanitized)
输出
<h1> Page Title </h1>
<script> alert("Boom!")</script>
我在 Flask 扩展 (Flask-MDE) 的示例应用程序中使用了它。请随时查看 here.