Tastypieサニタイズ入力？

Question

Tastypieを使用してユーザーの入力をサニタイズする最も効果的な方法は何でしょうか？今のところ、ユーザーがのように「」と入力すると、HTMLタグが保存されるので、表示されるときにはテキストが太字で表示されます。各リソースのobj_createを変更するだけでなく、どのようにすべての入力をサニタイズできますか？

また、私はウェブセキュリティの新しさであるため、フロントエンドでユーザーの入力を消毒する必要がありますか？私はtastypie APIにPOST要求を送る前に入力をサニタイズする必要があるかどうか、またはtastypieが入力を処理しているときに入力をサニタイズする必要があるかどうかはわかりません。

編集：<％=％>ではなく、<％ - ％>のデータを表示することで、アンダースコアテンプレートでHTMLをエスケープできることがわかりました。デフォルトでは、なぜこれを強調しないのですか？私はそれが大きなセキュリティリスクであるように感じます。 私はこれを間違ってどこかでやることを忘れてしまったら、私はうんざりです。

私は上記がフロントエンドのセキュリティ問題を解決すると思いますが、バックエンドはどうですか？ SQLインジェクションに脆弱であるかどうかはわかりますか？ POST/PUTリクエストを行うと、tastypieは入力をサニタイズしますか？

Answer 1

これまで、信頼できないユーザーの入力をブラウザに表示したことはありません。出力フィルタに|safeがある場合は、ブラウザで表示される唯一の方法です。それをしないでください。モデルでmark_safe = Trueとしてプロパティを設定しないでください。

Answer 2

私はそうのように、ブラウザにそれの途中で危険なフィールドを上書きし、リソースへの脱水方法を追加しました：

def dehydrate(self, bundle): 
    bundle.data['field_to_sanitize'] = bundle.data['field_to_sanitize'].replace("&", "&amp;").replace("<", "&lt;").replace(">", "&gt;").replace("'", "&#39;").replace('"', "&quot;") 
    return bundle 

は今、これが最善の解決策ではありませんが、それはの多くをエスケープします最も危険な存在です。便利なhtmlescape関数があれば、それを使うことができます。