python - 如何避免发私信时嵌入表情需要转义html标签而带来的安全问题？

Question

发私信需要显示表情，也就导致最终需要将[em_12]转换为
<img href="/static/img/em/12.gif">的样式才会显示出来，如何避免转义带来的安全问题，比如发送<img href="/follow/2131">就会导致看消息的人自动关注发送消息的人等类似的问题？

Answer 1

發送私訊時處理Post過去的數據，封鎖html標籤。然後得到無html的文本，方法一：對於[em12]可以後台直接替換為html，然後前端渲染時加safe過濾器避免屏蔽html。方法二：直接傳送文字到前端，前端JS取代[em12]為對應的html標籤即可。方法一safe過濾器必須確保傳輸文字安全性。

Answer 2

最直接打答案：將API變成POST將解決提到的問題

讓我再來猜一猜，題主是在問一個富文本編輯器中，如何過濾<img>標籤中的src嗎？你看，問題這麼問出來，答案就不言而喻了。

btw:如同某社區的註銷問題一樣，/sucide即為註銷，後來改成/sucide?uid=[ID]，結果大家就學會互發站內信了。蛤蛤