python 富文本编辑器防XSS漏洞攻击,过滤富文本XSS
import html#导入html模块 #从前端获取text内容,escape()函数进行对内容处理转译。 text = html.escape(‘前端富文本内容’, quote=True) #然后进行常规存储 #访问富文本内容时,需要做一下反译处理 from xml.sax.saxutils import unescape text= unescape(‘数据库存储text内容’, {"'": "'", """: '"'})
推荐下面这种方式:
#过滤富文本XSS攻击 from lxml.html.clean import clean_html print clean_html(html) #实现真正的burp抓包插入XSS内的防御