python - python-markdown 在不受信任的输入上安全吗?

标签 python security markdown

Python-Markdown包括转义原始 HTML 等功能,这些功能显然旨在使其在不受信任的输入上安全,并且一般来说 Markdown 通常用于呈现用户输入,例如 right here on SO。

但是这个实现真的值得信赖吗?这里有没有人研究过它以确定在任意输入上运行是安全的?

我看到有例如 Markdown in Django XSS safeSecure Python Markdown Library但“安全”模式真的安全吗?

最佳答案

据任何人所知,Python Markdown 库似乎是安全的,if you use it properly .有关如何安全使用它的详细信息,请参阅链接,但简短版本是:使用最新版本、设置 safe_mode 和设置 enable_attributes=False 很重要>.

更新:safe_mode 现在将被弃用,因为它存在安全问题。参见 https://github.com/Python-Markdown/markdown/commit/7db56daedf8a6006222f55eeeab748e7789fba89 .相反,请使用单独的 HTML 清理器,例如 HTML Purifier。

关于python - python-markdown 在不受信任的输入上安全吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8409284/

上一篇:python - 一些与 Python 中的语法、标记、词干提取和词义消歧有关的 NLP 内容

下一篇:python - 使用 Python 流式传输音频和视频

相关文章:

python - 将列插入 Pandas 数据框

python - 从文本中分割数字

image - flutter:FadeInImage.assetNetwork:如何添加访问 token 之类的请求 header

markdown - 支持 lektor 中的 RST 标记?

Python numpy 索引多维数组

python - 通过脚本在结构中设置 IDA 函数指针

Apache Shiro 和多重身份验证

linux - 在 Linux 2.6/IBM DB2 v9.7 上使用 "db2 connect to table"为 csh 脚本设置专用用户/密码

R Markdown - Rmd 文件外部的超链接

reference - 如何查看 Markdown 文件中的引用列表?

©2024 IT工具网  联系我们