当允许用户输入 markdown 内容时，如何防止跨域脚本攻击？ Python 有没有相关的处理模块？

推荐学习书目

› Learn Python the Hard Way

Python Sites

› PyPI - Python Package Index

› http://diveintopython.org/toc/index.html

› Pocoo

值得关注的项目

› PyPy

› Celery

› Jinja2

› Read the Docs

› gevent

› pyenv

› virtualenv

› Stackless Python

› Beautiful Soup

› 结巴中文分词

› Green Unicorn

› Sentry

› Shovel

› Pyflakes

› pytest

Python 编程

› pep8 Checker

Styles

› PEP 8

› Google Python Style Guide

› Code Style from The Hitchhiker's Guide

This topic created in 3469 days ago, the information mentioned may be changed or developed.

比如 V2EX ，允许用户通过 markdown 格式发帖。现在我想做的是：

转义用户输入的纯 html ， js 代码。

代码块中的 html ， js 代码不被转义。

一些 mardown 和 html 共同的标签不被转义。

仔细思考发现这是一个挺麻烦的事情，需要考虑的情况比较多。

有没有完善的第三方 python 模块已经做了这个事了？

4 replies • 2016-11-24 09:22:37 +08:00

Ellen

Nov 22, 2016

项目里面使用的 js 编辑器 editor-md

zmrenwu

Nov 22, 2016 via iPad

@Ellen 但这只是编辑器吧？对用户输入的内容做处理了么？

rogwan

Nov 22, 2016

可以在转义的时候，自定义过滤器，用过 flask Bleach ，然后根据自己的需要修改。

zmrenwu

Nov 24, 2016

@rogwan 自己写过滤挺复杂的，希望能有一个现成的框架。