में कनवर्ट करें मैं मार्कडाउन स्वीकार कर रहा हूं और इसे Django में सुरक्षित रूप से प्रस्तुत करने के लिए इसे HTML में परिवर्तित करने की आवश्यकता है। अभी मैं form.cleaned_data को स्वीकार कर रहा हूँ और यह परिवर्तित करने के साथ HTML में:Django/Python: मार्कडाउन को सुरक्षित एचटीएमएल
import markdown
html_body = markdown.markdown(body_markdown, safe_mode=True)
html_body = html_body.replace('[HTML_REMOVED]', '')
return html_body
टेम्पलेट में, मैं के रूप में यह प्रतिपादन कर रहा हूँ:
{{ object.content|safe|capfirst }}
हालांकि आप पोस्ट करता है, तो:
0;url=javascript:alert('hi');" http-equiv="refresh
जेएस प्रस्तुत करेगा ताकि एक्सएसएस संभव हो।
उत्तर के लिए धन्यवाद। मैंने टेम्पलेट से 'सुरक्षित' हटा दिया, हालांकि यह अभी भी प्रतिपादन कर रहा है। जेएस में, मैं स्क्रिप्ट टैग्स को सीधे सीधे नहीं जोड़ रहा हूं "0; यूआरएल = जावास्क्रिप्ट: अलर्ट ('हाय');" http-equiv = "ताज़ा करें" जो जेएस फ़िल्टर से गुजर रहा है। – user1846171
यह कहां प्रस्तुत कर रहा है? यदि एचटीएमएल हटाया जा रहा है, और कोई '