2. 질의 응답
  3. Django, 사용자가 embed/object html 및 XSS 보호를 사용할 수 있도록 허용

Django, 사용자가 embed/object html 및 XSS 보호를 사용할 수 있도록 허용

2010-01-07 3 views
1

나는 건물에 있습니다. 사용자가 비디오 및 오디오 사이트에 대한 소스 코드를 제공 할 수 있기를 바랍니다. 나는 이것이 보안 위험을 야기한다는 것을 알고 있으므로, 장고 내에서 제공되는 html을 필터링하여 특정 태그와 특정 사이트 만 허용되도록하는 방법을 찾으려고했습니다.Django, 사용자가 embed/object html 및 XSS 보호를 사용할 수 있도록 허용

아무도 장고와 함께 이것을 달성 할 수있는 방법에 대한 언급이 있습니까?

출처

2010-01-07 Jason Miesionczek

답변

1

lightweight markup language을 사용한 다음 HTML로 변환하는 것이 더 나을 수도 있습니다. 이렇게하면 게임을하지 않아도 HTML 검사를 할 수 없게됩니다. 'gotchas'에 대한 HTML을 완전하고 정확하게 검사하는 것은 매우 어렵습니다.

이런 식으로하는 것은 의 학교에서 일종입니다. 명시 적으로 허용되지 않은 것은 금지되어 있습니다..

출처

2010-01-07 18:17:06

+0

creoleparser (http://pypi.python.org/pypi/Creoleparser/0.6.1)를 사용하는 경우 임베드 코드를 생성하는 매크로를 만들 수 있습니다 (예 :'youtube' 매크로를 정의하여 사람들이 < >'마크 업,'googlevideo' 매크로 등). – LeafStorm

+0

@LeafStorm : 링크를 제공해 주셔서 감사합니다. 나는 전에이 특별한 것을 보지 못했다. –

+0

가벼운 마크 업 언어에 XSS 익스플로잇을 내장 할 수 있습니다. 다음은 MarkDown의 예입니다. http://michelf.com/weblog/2010/markdown-and-xss/ –

관련 문제

 관련 문제