我正在使用 jinja2 安全地呈现来自网络联系表单的电子邮件模板。问题是字符 &、<、>、' 和 " 被转换为 HTML 安全序列。所以
这就是所有人!
成为
That's all folks!
我想删除任何 HTML 标签以防止没有任何字符编码的 XSS。这在jinja2中可能吗?
注意:带状标签实用程序还可以转换字符。
我认为这是不可能的。您将如何处理诸如That's only true when x<y and x>0
之类的消息。<
和>
之间的部分是消息的一部分,但可以解释为(无聊的)HTML标记。
由浏览器来读取That's all folks!
并通过解码字符来正确显示它。