首頁(yè) 猿問 ...

如何避免發(fā)私信時(shí)嵌入表情需要轉(zhuǎn)義html標(biāo)簽而帶來的安全問題？

Python 安全

小怪獸愛吃肉 2018-10-03 17:18:08

發(fā)私信需要顯示表情，也就導(dǎo)致最終需要將[em_12]轉(zhuǎn)換為<img href="/static/img/em/12.gif">的樣式才會(huì)顯示出來，如何避免轉(zhuǎn)義帶來的安全問題，比如發(fā)送<img href="/follow/2131">就會(huì)導(dǎo)致看消息的人自動(dòng)關(guān)注發(fā)送消息的人等類似的問題？

查看完整描述

2 回答

慕村225694

TA貢獻(xiàn)1880條經(jīng)驗(yàn) 獲得超4個(gè)贊

發(fā)送私信時(shí)處理Post過去的數(shù)據(jù)，屏蔽html標(biāo)簽。然后得到無html的文本，方法一：對(duì)于[em12]可以后臺(tái)直接替換為html，然后前端渲染時(shí)加safe過濾器避免屏蔽html。方法二：直接傳送文本到前端，前端JS替換[em12]為對(duì)應(yīng)的html標(biāo)簽即可。方法一safe過濾器必須保證傳輸文本安全性。

反對(duì) 回復(fù) 2018-10-14