Python-Markdown enthält Funktionen wie das Entkommen von reinem HTML, die offensichtlich auf nicht vertrauenswürdige Weise sicher sein sollen input, und allgemein gesprochen Markdown wird häufig zum Rendern von Benutzereingaben verwendet, wie hier auf SO.
Aber ist diese Implementierung wirklich vertrauenswürdig? Hat jemand hier studiert, um zu entscheiden, dass es sicher ist, auf willkürlichen Eingaben zu laufen?
Ich sehe dort zB Markdown in Django XSS sicher und Secure Python Markdown-Bibliothek aber ist" Safe "-Modus wirklich sicher?
Die Python Markdown-Bibliothek scheint, soweit bekannt, sicher zu sein . Weitere Informationen zur sicheren Verwendung finden Sie unter dem Link. Die Kurzversion lautet jedoch: Es ist wichtig, die neueste Version zu verwenden, um safe_mode und enable_attributes=False festzulegen.
Update: safe_mode wird nun aufgrund der Sicherheitsprobleme nicht mehr unterstützt. Siehe Ссылка . Verwenden Sie stattdessen einen separaten HTML-Desinfizierer wie HTML Purifier.