Python-Markdown包括转义原始 HTML 等功能,这些功能显然旨在使其在不受信任的输入上安全,并且一般来说 Markdown 通常用于呈现用户输入,例如 right here on SO。
但是这个实现真的值得信赖吗?这里有没有人研究过它以确定在任意输入上运行是安全的?
我看到有例如 Markdown in Django XSS safe和 Secure Python Markdown Library但“安全”模式真的安全吗?
最佳答案
据任何人所知,Python Markdown 库似乎是安全的,if you use it properly .有关如何安全使用它的详细信息,请参阅链接,但简短版本是:使用最新版本、设置 safe_mode
和设置 enable_attributes=False
很重要>.
更新:safe_mode
现在将被弃用,因为它存在安全问题。参见 https://github.com/Python-Markdown/markdown/commit/7db56daedf8a6006222f55eeeab748e7789fba89 .相反,请使用单独的 HTML 清理器,例如 HTML Purifier。
关于python - python-markdown 在不受信任的输入上安全吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8409284/