質問編集履歴

回答後に質問内容の変更が行われたため

2021/08/16 09:50

投稿

スコア0

test CHANGED Viewed

	@@ -1 +1 @@
1	- Markdownをテンプレートで表示させる際のXSS対策について。
1	+ Djangoで利用者がMarkdownをテンプレートで表示させる際に{{safe}}をした場合のXSS対策について。

test CHANGED Viewed

@@ -1,11 +1,37 @@
-通常であれば、エスケープが無効になっていますが、これをsafeを使うことによりエスケープを解除しています。
+Djangoでユーザーがマークダウンエディタから簡易的な投稿を出来るアプリを作成しました。
-しかし、不特定多数のユーザーが投稿できる状態では、safeはクロスサイトスクリプティング（XSS）の観点から見て良くないのではと思います。
+以下のようにマークダウンをhtmlに変換するフィルターを作りました。
+```python
+from django import template
-ですが、safeを使わないとマークダウンをHTMLに変換する方法が分かりません。
+from django.template.defaultfilters import stringfilter
-何か良い方法があれば教えて頂きたいです。
+import markdown
+register = template.Library()
+@register.filter
-よろしくお願い致します。
+@stringfilter
+def markdown_html(value):
+   return markdown.markdown(value)
+```
+これをテンプレートで以下のようにすれば、マークダウンがHTML表示されます。
+```python
+{{ markdowntxt | markdown_html | safe }}
+```

情報の修正

2021/08/16 09:50

投稿

スコア0

test CHANGED Viewed

	@@ -1 +1 @@
1	- ~~Djangoで利用者が~~Markdownをテンプレートで表示させる際~~に{{safe}}をした場合~~のXSS対策について。
1	+ Markdownをテンプレートで表示させる際のXSS対策について。

test CHANGED Viewed

@@ -1,43 +1,3 @@
-Djangoでユーザーがマークダウンエディタから簡易的な投稿を出来るアプリを作成しました。
-以下のようにマークダウンをhtmlに変換するフィルターを作りました。
-```python
-from django import template
-from django.template.defaultfilters import stringfilter
-import markdown
-register = template.Library()
-@register.filter
-@stringfilter
-def markdown_html(value):
-    return markdown.markdown(value)
-```
-これをテンプレートで以下のようにすれば、マークダウンがHTML表示されます。
-```python
-{{ markdowntxt | markdown_html | safe }}
-```
 通常であれば、エスケープが無効になっていますが、これをsafeを使うことによりエスケープを解除しています。
 しかし、不特定多数のユーザーが投稿できる状態では、safeはクロスサイトスクリプティング（XSS）の観点から見て良くないのではと思います。