Q&A
簡単に強調やリンクを貼れるように、django-summernoteを使用したいと思っています。
そこで気になったのですが、表示する際に{{ 〜〜| safe }}としたときのセキュリティは大丈夫なのでしょうか。
管理者である自分のみが使うのであれば問題はないと思うのですが、
今回は一般ユーザーも投稿可能にしたいと思っています。
XSSを防ぐためにも、safeを使うのは最低限にするべきだとわかっているのですが、safeを使う以外の表示方法がわかりません。
##質問
・多くのユーザーが文章を投稿するアプリで、django-summernoteを使うとsafeタグを使わないといけないのか
・djangoで安全性を保ったまま、強調などの装飾をする良い方法があるか
以上の2点が質問です。よろしくお願いします。
回答2件
0
ベストアンサー
面白いライブラリがあるのですね。
GitHubのIssuesにインジェクション対策が掲載されていました。
Injection Vulnerability #391
python
1import bleach 2from django import forms 3 4from django_summernote.widgets import SummernoteWidget 5 6ALLOWED_TAGS = [ 7 'a', 'div', 'p', 'span', 'img', 'em', 'i', 'li', 'ol', 'ul', 'strong', 'br', 8 'h1', 'h2', 'h3', 'h4', 'h5', 'h6', 9 'table', 'tbody', 'thead', 'tr', 'td', 10 'abbr', 'acronym', 'b', 'blockquote', 'code', 'strike', 'u', 'sup', 'sub', 11] 12 13STYLES = [ 14 'background-color', 'font-size', 'line-height', 'color', 'font-family' 15] 16 17ATTRIBUTES = { 18 '*': ['style', 'align', 'title', ], 19 'a': ['href', ], 20} 21 22class HTMLField(forms.CharField): 23 def __init__(self, *args, **kwargs): 24 super(HTMLField, self).__init__(*args, **kwargs) 25 self.widget = SummernoteWidget() 26 27 def to_python(self, value): 28 value = super(HTMLField, self).to_python(value) 29 return bleach.clean( 30 value, tags=ALLOWED_TAGS, attributes=ATTRIBUTES, styles=STYLES)
投稿2020/04/18 00:48
総合スコア1277
0
例えばですが、formの方で、「<script>が含まれていたらエラーにする」といったチェックを入れるという方法もあるかと思います。
投稿2020/04/17 23:03
総合スコア194
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2020/04/18 00:54
2020/04/18 01:09