白名单ip地址 url白名单

圆圆2025-10-31 13:01:05次浏览条评论

Django模板：实现HTML标签安全白名单与XSS防护

本教程旨在解决用户在 Django 模板中输入 HTML 内容时遇到的难题：既要保证只显示特定的 HTML 标签（例如 `br`、`italic`、`strong`、`ul`、`li`），又要有效抵御跨站脚本 (XSS) 攻击。我们将详细介绍如何使用 Python 的 `bleach` 库来实现一个精细的 HTML 白名单过滤器，以确保显示的内容既满足业务需求又保证安全。为了安全起见，避免转换，这种方法存在严重的安全风险。安全的过滤器会允许所有 HTML 标签，包括恶意脚本（例如 ``、`script>` 标签），从而使应用程序容易受到跨站脚本 (XSS) 攻击。XSS 攻击可能导致用户会话劫持、数据泄露或网站内容篡改。 bleach 是一个功能强大的 Python 库，由 Mozilla 开发，专门用于从不受信任的字符串中移除 HTML 标签和属性，以便安全地在浏览器中显示。它通过清晰的白名单机制工作，这意味着只有明确允许的标签和属性才会被保留，所有其他内容都将被移除或替换。安装 bleach

首先，您需要通过 pip 安装 bleach 库：

现在学习“前端免费学习笔记（深入版）”；复制允许的 HTML 标签定义后，使用 pip 安装 bleach 并登录

bleach 的核心功能之一是允许您精确定义哪些 HTML 标签是安全的。注意：HTML 标签通常是小写，bleach 会自动处理小写。# HTML 中的 'italic' 是 lt;igt;，这里我们直接使用 bleach.clean() 来清理登录后的内容。

定义允许的标签列表后，可以使用 bleach.clean() 方法处理用户输入的内容。user_input 示例包括允许和不允许的 user_input 标签。

；/pgt；

运行以上代码，您将得到以下输出：原始输入：

从输出可以看出，lt；pgt；标签和lt；scriptgt；标签已被成功移除。lt；ulgt；，lt；ligt；和lt；brgt；标签已被保留。在Django中集成bleach

在Django应用程序中，您可以将bleach集成到视图逻辑中，或者创建自定义过滤器模板。 AiPPT 方形模板

AiPPT 方形模板-PPT 模板-Word 文档模板-Excel 表格模板 50 查看详情

方法一：在视图中处理数据

这是最推荐的做法，因为它确保在将数据保存到数据库或传递给模板之前，内容已经过清理。

#views.pyfrom django.shortcuts import renderimport漂白ALLOWED_TAGS = ['br', 'i', 'strong', 'ul', 'li']def display_user_content(request): raw_content = request.POST.get('user_html_input', '') context = {'display_content'：cleaned_content} return render(request，'my_template.html'，context)# my_template.htmllt；!DOCTYPE htmlgt；lt；htmlgt；lt；headgt； lt；titlet；用户名 lt；/titlegt；内容；/headgt；lt；bodygt； lt；h1gt；用户名；/h1gt； lt；divgt； {{ display_content|safe }} {# 注意：这仍然是必需的|safe，因为内容已被漂白，现在是安全的#} lt；/divgt；lt；/bodygt；lt；/htmlgt；复制后登录

方法二：创建自定义过滤模板

如果你想清理模板层（比如数据库中旧数据未漂白时），可以创建自定义过滤模板。# myapp/templatetags/bleach_filters.pyfrom django import templateimport漂白寄存器 = template.Library()ALLOWED_TAGS = ['br'， 'i'， 'strong'， 'ul'， 'li']# 还可以定义ALLOWED ATTRIBUTES，例如： # ALLOWED_ATTRIBUTES = {# '*'： ['class'， 'id']， # ALLOWED ALLOWED ATTRIBUTES有class和id器# 'a'： ['href'， 'title']， # ALLOWED_ATTRIBUTES# }@register.filter(name='bleach_clean')defbleach_clean_filter(value)： quot；quot；quot；使用漂白剂库净化HTML内容，可小真白发动中国设计。

如果 value 不是 str 类型，则返回 value，否则返回 bleach.clean(value，tags=ALLOWED_TAGS) #，attributes=ALLOWED_ATTRIBUTES) 电视后名式

然后在您的模板中加载并使用此过滤器：{ load bleach_filters }

!DOCTYPE html>

html>

head>

title>

user_raw_content|bleach_clean|safe

请注意，即使您使用 bleach_clean 过滤器，仍然需要添加 |safe 过滤器，因为 bleach 返回的是普通字符串，Django 模板引擎默认会将其转换为 HTML。|safe 告诉 Django 此字符串已被清理，可以安全地渲染为 HTML。

谨慎和最佳实践始终优先于内容清理：最佳实践是在视图层或模型层对内容进行清理，然后再将数据保存到数据库或从数据库读取并渲染到模板。默认情况下，bleach 会移除所有属性；如果需要允许特定属性（例如标签的 `lt`、`agt`、`href`），则需要通过 `attributes` 参数进行指定。不仅限于标签：bleach 不仅可以过滤标签，还可以过滤 HTML 属性（`attributes` 参数）和 CSS 样式（`styles` 参数）。对于更复杂的文本场景，这些功能非常有用。结合其他安全措施：bleach 是 XSS 防护的重要组成部分，但并非唯一手段。它应该与其他安全措施结合使用，例如输入验证、代码输出、内容安全策略 (CSP) 等，以构建多层次的安全防御体系。对于处理大量或非常长的 HTML 字符串，bleach 的清理操作可能会略微影响性能。在大多数 Web 应用场景中，这种类型的开口通常可以忽略。

通过遵循这些准则并使用 bleach 库，您可以安全灵活地处理用户在 Django 应用中输入的 HTML 内容，有效防止 XSS 攻击，同时保持页面内容的丰富性。

以上是Django模板：实现HTML安全白名单和XSS防护详细内容，更多请关注乐哥常识网其他相关文章！理解前端设计设计：下载Bootstrap CSS在头部，JS在底部？ CSS位置：固定移动端永久固定头部的实现教程 CSS幻灯片导航箭头定位：解决容器时出题论

Django模板：实

css边框设置 css边界怎么设置