race1 Sep 29 2009 at 05:15

My escape(html)

4 min

1.4K

Comments 7

homm Sep 29 2009 at 05:26

По крайней мере на php есть куча библиотек для фильтрации контента, учитывающих в том числе уязвимости браузеров. Уверен, что и под питон таких найдется. Ваша функция может похвастсться тем-же?

race1 Sep 29 2009 at 05:48

Уязвимости браузеров? Нет, функция просто оставляет разрешённые тэги и атрибуты. Неразрешённые атрибуты удаляет, символы экранирует. Разве ещё что-то надо? :)

homm Sep 29 2009 at 07:50

Она не может эффективно «оставляет разрешённые тэги и атрибуты», если вы даже не подозреваете что именно браузеры считают тегами. Я сам не эксперт, но как минимум слышал о том, что многие браузеры пропускают нулевой символ, в результате конструкция <{0x00}script> становится обрабатываемым тегом.

На хабре тоже когда-то стояла просто функция, удаляющая теги, можете поискать на луркоморье статью о связанном с этим эпик фейле.

race1 Sep 29 2009 at 08:09

Вроде понятно что вы имеете в виду. Я так думаю надо найти примеры уязвимостей и проверить свою функцию на них.

PS. <\0br/> функция не посчитала валидным тэгом, выдав & lt;\0br/& gt; Я не думаю что такая конструкция может показаться браузеру тэгом… :)

zw0rk Sep 29 2009 at 06:54

template filter `escape` чем не подошел для экранирования?

race1 Sep 29 2009 at 06:59

Он экранирует все символы, а мне надо оставить некоторые тэги.

hardtop Sep 29 2009 at 10:15

Есть библиотека — Beautiful Soup. А вот некоторые наброски кода. Вообще, на stackoverflow.com можно выбрать все темы по тегу django — очень много интересного можно найти.