84669 Lernen von Personen
152542 Lernen von Personen
20005 Lernen von Personen
5487 Lernen von Personen
7821 Lernen von Personen
359900 Lernen von Personen
3350 Lernen von Personen
180660 Lernen von Personen
48569 Lernen von Personen
18603 Lernen von Personen
40936 Lernen von Personen
1549 Lernen von Personen
1183 Lernen von Personen
32909 Lernen von Personen
在自己的工程中使用了开源的EpicEditor,一种Markdown编辑器。但是从Markdown编辑器获取的内容在保持到MySQL数据库之前,应该要做一些过滤动作吧。比如引用第三方资源(JS/CSS/iframe),标签转义,避免SQL注入攻击等。
是否有最佳实践?是否有开源的组件可用?
人生最曼妙的风景,竟是内心的淡定与从容!
开源的组件我没找到,但是有关这个问题的简单讨论可以看这里,主要防范xsssql注入的问题你应该使用严格的输入过滤、高级数据库连接类、ORM来防范。
没用过这个开源的编辑器,不知道你传到服务器的内容是 markdown语法内容还是 markdown转译后的html。后者的话 可以使用Bleach进行html标签清理for example:
allowed_tags = ['a', 'p', 'ul', 'li', 'h1'] new_html = bleach.linkify(bleach.clean(u"value html string",tags=allowed_tags, strip=True))
传送门: http://bleach.readthedocs.io/...
开源的组件我没找到,但是有关这个问题的简单讨论可以看这里,主要防范xss
sql注入的问题你应该使用严格的输入过滤、高级数据库连接类、ORM来防范。
没用过这个开源的编辑器,不知道你传到服务器的内容是 markdown语法内容还是 markdown转译后的html。
后者的话 可以使用Bleach进行html标签清理
for example:
传送门: http://bleach.readthedocs.io/...