首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
V2EX  ›  问与答

求 Python 下好用的 HTMLPurifier

  •  
  •   tabris17 · 2015-09-07 18:25:06 +08:00 · 1167 次点击
    这是一个创建于 1551 天前的主题,其中的信息可能已经有所发展或是发生改变。
    在 pypi 上找到两个,一个是基于 PHP 版的 HTMLPurifier , Python 通过命令行来调用 PHP ,获取结果。这个太扯了。

    另外一个是基于 HTMLParser 做的,但是很多地方都过滤不完全,特别是 URL 都不过滤。注入下列 XSS 都过滤不了:

    <a href="javascript:alert ('XSS')">
    <img src="javascript:alert ('XSS')">
    <input type="image" src="javascript:alert ('XSS');">
    <body background="javascript:alert ('XSS')">
    <bgsound src="javascript:alert ('XSS');">
    <link rel="stylesheet" href="javascript:alert ('XSS');">
    <div style="background-image:url ('javascript:alert ()');width:expression (alert ());">

    更过分的是竟然不处理转义字符,比如:
    <a href="sda&#34; onclick=&#34;alert ()">sadsad</a>
    会被转成
    <a href="sda" onclick="alert ()">sadsad</a>
    3 回复  |  直到 2015-09-13 20:01:10 +08:00
        1
    tabris17   2015-09-07 18:35:46 +08:00
    这是被降权了么,新发的贴都是日期都是一天前
        2
    fournoas   2015-09-09 09:35:28 +08:00
    为啥要搞个发贴降权呢,还不如直接禁言算了
        3
    Livid   V2EX Moderator   2015-09-13 20:01:10 +08:00
    @fournoas 你的主账号 @tabris17 的权重已经恢复。
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1710 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 22ms · UTC 16:32 · PVG 00:32 · LAX 08:32 · JFK 11:32
    ♥ Do have faith in what you're doing.