[점프 투 장고] 마크다운 허용 시 xss
안녕하세요
점프 투 장고 따라하면서 열심히 파이보 게시판을 만들고 있습니다.
그런데 장고 기본설정에선 xss을 자동적으로 막아주는 것 같은데
마크다운을 추가하니 이런 xss 공격이 실행됩니다ㅠㅠ (console log 찍히는중)
에디터 기능도 넣으면서 xss도 안되게 할 방법이 없을까요..
highslow1536 님 774
M 2023년 8월 21일 6:36 오후
5개의 답변이 있습니다. 1 / 1 Page
pybo_filter.py를 다음과 같이 수정해 보세요.
import markdown
from django import template
from django.utils.safestring import mark_safe
register = template.Library()
@register.filter
def sub(value, arg):
return value - arg
@register.filter
def mark(value):
extensions = ["nl2br", "fenced_code"]
return mark_safe(markdown.markdown(value, extensions=extensions, safe_mode='replace'))
safe_mode='replace' 를 추가해 보세요. (테스트는 해보지 못했습니다.)
또는 다음과 같이 strip_tags를 사용할수도 있을것 같네요.
{{ content|mark|strip_tags }}
박응용 님
2023년 8월 21일 10:37 오후
꼭 스크립트 실행뿐만이 아니라 이런 html 태그들을 마음대로 못쓰게 하고 싶습니다...!
M 2023년 8월 21일 6:25 오후
Решить проблемы со здоровьем; Определить индивидуальную конституцию и наладить правильную диету и режим дня и нагрузок; Провести детоксикацию, укрепить иммунитет, стать моложе https://ayurdara.ru/nashi_specialisty/doktor_sadiv/
Лечебные процедуры https://ayurdara.ru/uslugi_i_ceny/kativasti/
ООШМА -Термо растительная маска https://ayurdara.ru/fotoal_bomy/yoga_vstrecha_s_generation_yoga/yoga_1/12/
В салоне есть душ шарко и ванна массажная https://ayurdara.ru/vopros-otvet/konsul_tacii_doktora_varun_ram_radzha_v_ayurdare_s_6_oktyabrya_2022/
Я довольна процедурами на все 100% https://ayurdara.ru/fotoal_bomy/seminar_doktora_snehi_bhagvat_problemy_zhenskogo_zdorov_ya_i_puti_ih_estestvennogo_resheniya/_/
Мастер Лилия профессионал https://ayurdara.ru/fotoal_bomy/indijskij_tradicionnyj_centr_zdorov_ya_ayurdara/resepciya/
Аюрведческий санаторий https://ayurdara.ru/ayurveda_v_indii/
Показания: Устранение напряжения, стресса, улучшение питания кожи, омоложение, устранение отеков, нормализации сна и эмоционального фона, депрессия, бессонница, хроническая усталость https://ayurdara.ru/uslugi_i_ceny/shirovasti/
2024년 10월 4일 10:26 오후
САСЪЯКОЩА (Стэм сэл терапия)
Дыхание Алтая https://ayurdara.ru/vopros-otvet/novye_akcii2/
Консультации https://ayurdara.ru/panchakarma1/dieta_dlya_tryoh_dosh_ot_medony_tomi1/
Центр Аюрведы AYUR BRAHMA'S – центр аутентичной аюрведической практики в Санкт- Петербурге https://ayurdara.ru/uslugi_i_ceny/dhan_yamladhara/
Сироп Сафи – один из лучших аюрведических препаратов для очищения крови, для профилактики и лечения https://ayurdara.ru/vopros-otvet/povyshenie_cen/
https://ayurdara.ru/rasteniya_ayurvedy/amla_amalaki/
- Телефон https://ayurdara.ru/vopros-otvet/rava_dosa_kruzhevnye_blinchiki/
2024년 10월 16일 3:01 오후
Anchor — российский бренд авторских ювелирных украшений https://artebotanica.ru/sert
Дизайнеры вдохновляются морем, современной архитектурой и идеями минимализма https://artebotanica.ru/catalog?tfc_quantity<>62448776]=y&tfc_brand<>62448776]=Украшения+с+натуральными+камнями&tfc_div=:::
Причудливые геометрические формы, лаконичный дизайн, изысканная простота — вот отличительные черты украшений Anchor https://artebotanica.ru/catalog
Все изделия производятся из драгоценных металлов и кожи https://artebotanica.ru/vozvrat
Возможно изготовление индивидуальных моделей на заказ https://artebotanica.ru/sert
Серьги, кольца, колье, запонки, подвески и прочие изделия можно заказать в интернет-магазине или приобрести в шоуруме в Москве https://artebotanica.ru/catalog?tfc_quantity<>62448776]=y&tfc_brand<>62448776]=Украшения+с+натуральными+камнями&tfc_div=:::
Avgvst https://artebotanica.ru/catalog?tfc_quantity<>62448776]=y&tfc_storepartuid<>62448776]=Браслеты&tfc_div=:::
Создать украшение https://artebotanica.ru/catalog?tfc_quantity<>62448776]=y&tfc_storepartuid<>62448776]=Браслеты&tfc_div=:::
Мы создаем уникальные модели авторских украшений с 2008 года и за это время имеем огромный опыт в моделировании, дизайне, литье авторских ювелирных изделий http://artebotanica.ru/
Примеры работ можно посмотреть в разделе Создание ювелирных изделий вы можете купить дорогие ювелирные украшения на любой вкус по максимально демократичным ценам с доставкой по всей России буквально в два клика https://artebotanica.ru/catalog
Оригинальные ювелирные изделия подойдут как и молодым девушкам так и зрелым женщинам, главное правильно подобрать форму изделия под ваш вкус и стиль, а все остальное этот аксессуар сделает за вас https://artebotanica.ru/catalog?tfc_quantity<>62448776]=y&tfc_div=:::
Уникальные формы и необычные сочетания цветов и металлов добавит изысканности и оригинальности любому наряду, притягивая восхищенные взгляды окружающих делая вас поистине неповторимой https://artebotanica.ru/contacts
Предлагаем Вам гордость нашего ювелирного салона - авторские ювелирные изделия https://artebotanica.ru/catalog?tfc_quantity<>62448776]=y&tfc_div=:::
Это шедевры Русского ювелирного искусства, выполненные мастерами ювелирного дела https://artebotanica.ru/catalog?tfc_quantity<>62448776]=y&tfc_storepartuid<>62448776]=Эксклюзивные+украшения&tfc_div=:::
Изысканные, элегантные и просто красивые ювелирные изделия-кольца, серьги, броши, подвески, инкрустированные драгоценными камнями - теперь эта роскошь доступна и Вам, наши дорогие покупатели https://artebotanica.ru/catalog?tfc_quantity<>62448776]=y&tfc_storepartuid<>62448776]=Эксклюзивные+украшения&tfc_div=:::
Необычные концерты в Соборе Петра и Павла https://artebotanica.ru/catalog?tfc_quantity<>62448776]=y&tfc_storepartuid<>62448776]=Кулоны&tfc_div=:::
12+
Поделиться https://artebotanica.ru/catalog?tfc_quantity<>62448776]=y&tfc_brand<>62448776]=Украшения+с+цветами+и+ягодами&tfc_div=:::
2024년 10월 19일 1:08 오전