V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
tabris17
V2EX  ›  问与答

求 Python 下好用的 HTMLPurifier

  •  
  •   tabris17 · 2015-09-07 18:25:06 +08:00 · 1641 次点击
    这是一个创建于 3368 天前的主题,其中的信息可能已经有所发展或是发生改变。
    在 pypi 上找到两个,一个是基于 PHP 版的 HTMLPurifier , Python 通过命令行来调用 PHP ,获取结果。这个太扯了。

    另外一个是基于 HTMLParser 做的,但是很多地方都过滤不完全,特别是 URL 都不过滤。注入下列 XSS 都过滤不了:

    <a href="javascript:alert ('XSS')">
    <img src="javascript:alert ('XSS')">
    <input type="image" src="javascript:alert ('XSS');">
    <body background="javascript:alert ('XSS')">
    <bgsound src="javascript:alert ('XSS');">
    <link rel="stylesheet" href="javascript:alert ('XSS');">
    <div style="background-image:url ('javascript:alert ()');width:expression (alert ());">

    更过分的是竟然不处理转义字符,比如:
    <a href="sda&#34; onclick=&#34;alert ()">sadsad</a>
    会被转成
    <a href="sda" onclick="alert ()">sadsad</a>
    3 条回复    2015-09-13 20:01:10 +08:00
    tabris17
        1
    tabris17  
    OP
       2015-09-07 18:35:46 +08:00
    这是被降权了么,新发的贴都是日期都是一天前
    fournoas
        2
    fournoas  
       2015-09-09 09:35:28 +08:00
    为啥要搞个发贴降权呢,还不如直接禁言算了
    Livid
        3
    Livid  
    MOD
       2015-09-13 20:01:10 +08:00
    @fournoas 你的主账号 @tabris17 的权重已经恢复。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   6018 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 02:41 · PVG 10:41 · LAX 18:41 · JFK 21:41
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.