html을 살리기 위해 lxml.html.clean을 사용하고 있습니다. 그것은 모든 태그에서 '스타일'속성을 제거하는 것으로 보이며, 제 목적을 위해 스타일 속성을 제거하지 않아도됩니다.태그에서 '스타일'을 제거하기위한 lxml.htm.clean의 목적
허용을 시작하기 전에 html 살생을 수행 할 때 스타일 속성을 제거하지 말아야하는 보안 관련 사항이 있는지 이해하고 싶습니다.
전문가가이 문제에 대한 통찰력을 높이 평가합니다.
(내 응용 프로그램을 사용하면 최종 사용자가 백엔드 데이터베이스에 저장된 HTML을 만들어 페이지에 렌더링 할 수 있습니다. 위의 'clean'은 위의 html에서 악의적 인 html (예 : javascript 등)을 제거하는 데 효과적입니다. 이후 렌더링을 위해 저장됩니다). feedparser HTML sanitisation web site 당
- '스타일' 'safe_attrs'가
저에게 보이는 것은 [선택 해제 할 수있는 옵션] (http://lxml.de/api/lxml.html.clean.Cleaner-class.html)이거나 사용중인 것과 다릅니다. ? –
고마워요 2 비트! 그러나 기본적으로 '스타일'속성이 제거 된 이유는 무엇입니까?이 속성을 사용하는 악성 코드의 보안 문제가 있습니까? (나는 명확하게하기 위해 질문을 향상시킬 것이다) – user1055761
어쩌면 다른 누군가가 그것에 대해 이야기 할 것이다. 내 것을 위해서. 2 비트 (꿀꺽 꿀꺽 마시는 것), 나는 그것이 아마도 불필요한 것이 아니라고 말할 것입니다. (그것은 HTML 속성으로 얼마나 많은 것을 할 수 있습니까?) 많은 JavaScript 라이브러리, 브라우저 확장 등이이 속성에 추가 될 수 있습니다. –