DjangoBB LoFi version

magnet85

Сен. 26, 2011 11:31:47

Доброго времени суток.
Хочу добавить некоторые bbcode теги в комментарии. Делаю так:

При сохранении в базу сообщение эскепирую, то есть все теги с квадратными скобками сохранятся:

from django.utils.html import escape
cd['message'] = escape(cd['message'])

Затем при выводе с помощью шаблонного фильтра заменяю bbcode на нужный мне html эквивалент:

@register.filter
def bbcode(value):

    bbdata = [
        (r'\[url=(.+?)\](.+?)\[/url\]', r'<a href="\1">\2</a>'),
        (r'\[b\](.+?)\[/b\]', r'<b>\1</b>'),
        (r'\[i\](.+?)\[/i\]', r'<i>\1</i>'),
        (r'\[u\](.+?)\[/u\]', r'<u>\1</u>'),
        (r'\[quote\](.+?)\[/quote\]', r'<div style="margin-left: 1cm">\1</div>'),
        (r'\[code\](.+?)\[/code\]', r'<pre>\1</pre>'),
        ]

    for bbset in bbdata:
        p = re.compile(bbset[0], re.DOTALL)
        value = p.sub(bbset[1], value)

    return value

делаю вывод примерно так:

{{ comment.text|bbcode|safe|linebreaks }}

Собственно вопросы:
1) Безопасно ли так делать (xss?)?
2) Может есть ещё решения?

slav0nic

Сен. 26, 2011 19:36:31

postmarkup делает это более правильно) регекспы вообще гавно, но когда-то мне надо было сваять заглушку (в постмарапе нашёл кучу xss, а форкать его не было желания + автор подзабил), сваял https://bitbucket.org/slav0nic/django-bbmarkup/wiki/Home на регекспах, но сейчас postmarkup - ok

magnet85

Сен. 26, 2011 19:54:24

slav0nic
Я тоже нашёл xss, например:

[url=javascript:alert(String.fromCharCode(88,83,83))]http://google.com[/url]

думаю она не одна.

Вообщем решил использовать postmarkup, работает вроде хорошо, свои велосипед не хочется придумывать, единственное, этот postmarkup размером в 1500 строк, типа как по воробью из пушки. Ещё нашёл фильтр для bbcode, в исходниках http://softwaremaniacs.org/soft/cicero/source/ он поменьше раза в 3, но его не проверял.

slav0nic

Сен. 27, 2011 18:20:15

ну я Cагалаеву репортил пару xss)