在 pypi 上找到两个,一个是基于 PHP 版的 HTMLPurifier , Python 通过命令行来调用 PHP ,获取结果。这个太扯了。
另外一个是基于 HTMLParser 做的,但是很多地方都过滤不完全,特别是 URL 都不过滤。注入下列 XSS 都过滤不了:
<a href="javascript:alert ('XSS')">
<img src="javascript:alert ('XSS')">
<input type="image" src="javascript:alert ('XSS');">
<body background="javascript:alert ('XSS')">
<bgsound src="javascript:alert ('XSS');">
<link rel="stylesheet" href="javascript:alert ('XSS');">
<div style="background-image:url ('javascript:alert ()');width:expression (alert ());">
更过分的是竟然不处理转义字符,比如:
<a href="sda"onclick="alert ()">sadsad</a>
会被转成
<a href="sda" onclick="alert ()">sadsad</a>
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
https://www.v2ex.com/t/218921
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.