84669 人學習
152542 人學習
20005 人學習
5487 人學習
7821 人學習
359900 人學習
3350 人學習
180660 人學習
48569 人學習
18603 人學習
40936 人學習
1549 人學習
1183 人學習
32909 人學習
在自己的工程中使用了开源的EpicEditor,一种Markdown编辑器。但是从Markdown编辑器获取的内容在保持到MySQL数据库之前,应该要做一些过滤动作吧。比如引用第三方资源(JS/CSS/iframe),标签转义,避免SQL注入攻击等。
是否有最佳实践?是否有开源的组件可用?
人生最曼妙的风景,竟是内心的淡定与从容!
開源的元件我沒找到,但是有關這個問題的簡單討論可以看這裡,主要防範xsssql注入的問題你應該使用嚴格的輸入過濾、高級數據庫連接類、ORM來防範。
沒用過這個開源的編輯器,不知道你傳到伺服器的內容是 markdown語法內容還是 markdown轉譯後的html。 後者的話 可以使用Bleach進行html標籤來清理for example:
allowed_tags = ['a', 'p', 'ul', 'li', 'h1'] new_html = bleach.linkify(bleach.clean(u"value html string",tags=allowed_tags, strip=True))
傳送門: http://bleach.readthedocs.io/...
開源的元件我沒找到,但是有關這個問題的簡單討論可以看這裡,主要防範xss
sql注入的問題你應該使用嚴格的輸入過濾、高級數據庫連接類、ORM來防範。
沒用過這個開源的編輯器,不知道你傳到伺服器的內容是 markdown語法內容還是 markdown轉譯後的html。
後者的話 可以使用Bleach進行html標籤來清理
for example:
傳送門: http://bleach.readthedocs.io/...