简体中文(ZH-CN)English(EN)繁体中文(ZH-TW)日本語(JA)한국어(KO)Melayu(MS)Français(FR)Deutsch(DE)
首页
文章
问答
课程
专题
下载
手游
词典
最近更新

首页  >  问答  >  正文

python - Markdown编辑器服务器处理最佳实践

在自己的工程中使用了开源的EpicEditor,一种Markdown编辑器。但是从Markdown编辑器获取的内容在保持到MySQL数据库之前,应该要做一些过滤动作吧。比如引用第三方资源(JS/CSS/iframe),标签转义,避免SQL注入攻击等。

是否有最佳实践?是否有开源的组件可用?

黄舟黄舟2717 天前383

全部回复(2)我来回复

  • 怪我咯

    怪我咯2017-04-18 09:47:48

    开源的组件我没找到,但是有关这个问题的简单讨论可以看这里,主要防范xss
    sql注入的问题你应该使用严格的输入过滤、高级数据库连接类、ORM来防范。

    回复
    0
  • 怪我咯

    怪我咯2017-04-18 09:47:48

    没用过这个开源的编辑器,不知道你传到服务器的内容是 markdown语法内容还是 markdown转译后的html。
    后者的话 可以使用Bleach进行html标签清理
    for example:

    allowed_tags = ['a', 'p', 'ul', 'li', 'h1']
new_html = bleach.linkify(bleach.clean(u"value html string",tags=allowed_tags, strip=True))

    传送门: http://bleach.readthedocs.io/...

    回复
    0
  • 取消回复