V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
cloudzhou
V2EX  ›  程序员

markdown js 渲染的安全性

  •  
  •   cloudzhou · 2013-08-08 23:46:07 +08:00 · 4419 次点击
    这是一个创建于 4124 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我在寻找 markdown 的 js 渲染, markdown 是支持部分 html 标签的,比如 <table> <pre>,找了一些 js 渲染的 lib,比如 https://github.com/chjj/marked ,但是普遍存在一个问题,如果设置 sanitize: true, 就是安全渲染,那么所有的 html 标签都会被生成原来的代码,如果不安全渲染,那么类似
    <script src="https://gitshell.com/static/js/app/marked/marked.js"></script>
    的 js 代码也能注入,这个问题很头疼。

    问题:有没有一个 markdown js lib,能渲染基本 html 标签,又避免 xss 的攻击?过滤掉有害的注入。
    3 条回复    1970-01-01 08:00:00 +08:00
    timonwong
        1
    timonwong  
       2013-08-09 00:01:16 +08:00
    使用第三方的sanitizer, Python上我一般用Bleach(支持白名单),nodejs上有个库是来调用Bleach的(远程调用外部服务,外部服务又调用Bleach,感觉比较二)。
    你可以考虑在本机搭个Python环境,做个包装调用Bleach看看。
    cloudzhou
        2
    cloudzhou  
    OP
       2013-08-09 00:11:49 +08:00
    泪奔,就这点都需要这么复杂
    dreampuf
        3
    dreampuf  
       2013-08-09 00:13:53 +08:00
    白名单
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2714 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 15:11 · PVG 23:11 · LAX 07:11 · JFK 10:11
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.