Уведомления

Группа в Telegram: присоединиться

#1 Май 8, 2019 18:40:37

BlackShark
Зарегистрирован: 2019-04-23
Сообщения: 3
Репутация: +  0  -
Профиль   Отправить e-mail  

jinja2 - autoescape

Здравствуйте!

Подскажите, пожалуйста, насколько безопасно отключать autoescape в шаблоне страницы??? Я в вебе новичок, поэтому, хотелось бы знать о подводных камнях на данном этапе.

Меня беспокоит следующее. Со стороны клиента постится контент, который попадает в базу. При это мне хотелось бы разрешить продвинутым пользователям форматировать текст с помощью html разметки если они могут и хотят.
Затем данный опубликованный контент просматривают другие пользователи.
Возможна ли вставка какого-либо вредоносного активного содержимого которое выполнится или на сервере, или навредить пользователям?????

Заранее спасибо.

Офлайн

#2 Май 8, 2019 21:31:11

JOHN_16
От: Россия, Петропавловск-Камчатск
Зарегистрирован: 2010-03-22
Сообщения: 3176
Репутация: +  218  -
Профиль   Отправить e-mail  

jinja2 - autoescape

не по теме: всяике разметки типа bbCode, MarkDown и тп были придуманы отчасти для этого

по теме: все зависит от того что вы делаете с этим контентом. Если задача банальная - принять все что угодно. чт обы оно в последствии прям овставлялось в страницу - ну в лучшем случае вам разметку собьют и тп (то есть испортять внешний вид), в худшем надо понимать чем опасна инъекция стороннего html кода на страницу. Об этом в общем то можно почитать в интернетах.



_________________________________________________________________________________
полезный блог о python john16blog.blogspot.com

Офлайн

Board footer

Модераторировать

Powered by DjangoBB

Lo-Fi Version