markdown js 渲染的安全性

2013-08-08 23:46:07 +08:00
 cloudzhou
我在寻找 markdown 的 js 渲染, markdown 是支持部分 html 标签的,比如 <table> <pre>,找了一些 js 渲染的 lib,比如 https://github.com/chjj/marked ,但是普遍存在一个问题,如果设置 sanitize: true, 就是安全渲染,那么所有的 html 标签都会被生成原来的代码,如果不安全渲染,那么类似
<script src="https://gitshell.com/static/js/app/marked/marked.js"></script>
的 js 代码也能注入,这个问题很头疼。

问题:有没有一个 markdown js lib,能渲染基本 html 标签,又避免 xss 的攻击?过滤掉有害的注入。
4301 次点击
所在节点    程序员
3 条回复
timonwong
2013-08-09 00:01:16 +08:00
使用第三方的sanitizer, Python上我一般用Bleach(支持白名单),nodejs上有个库是来调用Bleach的(远程调用外部服务,外部服务又调用Bleach,感觉比较二)。
你可以考虑在本机搭个Python环境,做个包装调用Bleach看看。
cloudzhou
2013-08-09 00:11:49 +08:00
泪奔,就这点都需要这么复杂
dreampuf
2013-08-09 00:13:53 +08:00
白名单

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/78493

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX