Python-Markdownには、未加工のHTMLのエスケープのような機能があります。これは、信頼できない入力に対しては安全であることを明示することを目的としています。一般に、Markdownは、ここでのようにユーザー入力をレンダリングするためによく使用されます。信頼できない入力に対してもpython-markdownは安全ですか?
しかし、この実装は本当に信頼できるものですか?ここで誰もが任意の入力で実行することが安全だと判断するためにそれを研究しましたか?
例えば、Markdown in Django XSS safeとSecure Python Markdown Libraryがありますが、安全なモードは本当に安全ですか?
Python Markdownライブラリは、誰でも知っている限り、安全だと思われます。if you use it properly。安全に使用する方法の詳細については、リンクを参照してください。ただし、短いバージョンは:最新バージョンを使用してsafe_modeを設定し、enable_attributes=Falseに設定することが重要です。
更新:safe_modeのセキュリティ上の問題により、現在は廃止予定です。 https://pythonhosted.org/Markdown/reference.html#safe_modeを参照してください。代わりに、HTML Purifierなどの別のHTMLサニタイザを使用します。
safe_modeは非推奨になりましたhttps://pythonhosted.org/Markdown/reference.html#safe_mode –
@RichardJones、更新いただきありがとうございます!私は私の答えを更新しました。 –
あなたはそれが信じられない理由がありますか? Djangoの安全モードは、正しく完成したフレームワークであり、多くの人がそれを使用しているので、正しく供給すれば完璧に動作するはずです。明白なセキュリティ上のリスクがあった場合、人々は今までにそれらを見つけたでしょう。 – Codahk
安全です。それが本当に安全かどうかは、あなたの "本当に安全"な定義に依存します –