나는 Django 형식의 텍스트 영역에 대해 TinyMCE 편집기를 사용하고 있습니다.Django에서 안전한 텍스트 필터 사용하기
이제 리치 텍스트를 다시 사용자에게 표시하기 위해 브라우저에 HTML 서식있는 텍스트를 표시 할 수 있도록 장고 템플릿의 "안전한"필터를 사용해야합니다. 한다고 가정 자바 스크립트가 사용자의 브라우저에서 사용할 수 없습니다
는 TinyMCE에로드되지 않으며 사용자는 텍스트 영역 필드에서 <script>
또는 다른 XSS 태그를 전달할 수 있습니다. 이러한 HTML은 사용자에게 다시 표시하는 것이 안전하지 않습니다.
TinyMCE에서 제공되지 않는 안전하지 않은 HTML 텍스트는 어떻게 처리합니까?
XSS 치트 시트는 HTML 정리 루틴을 구현하는 것이 왜 쓸데없는 과정인지 보여주는 좋은 예입니다. whitelisting html 태그는이를 완전히 피할 수있는 유일한 방법입니다. –
+1 멋진 링크.나는 나의 미래의 애플 리케이션이 이것에 대한 구멍이 적을 것이라고 생각한다. 고맙습니다. –