在web应用中，直接显示用户输入的html内容存在跨站脚本（xss）风险。django的`safe`过滤器虽然能标记内容为安全，但无法限制特定标签，可能引入漏洞。本文将介绍如何利用python的`bleach`库，实现对用户输入html的精细化控制，仅允许`
、、、

、
• `等预定义的安全标签，从而有效防范xss攻击，确保内容安全展示。

背景与挑战

现代Web应用常常需要用户输入富文本内容，例如评论、文章正文或个人简介。为了提供更好的用户体验，这些内容通常允许包含一定程度的HTML标签，如加粗、斜体、列表等。然而，如果不对用户输入的HTML进行严格过滤，恶意用户可能会注入

Django框架提供了一个|safe模板过滤器，用于告诉模板引擎某个字符串是安全的HTML，可以直接渲染而无需转义。然而，|safe过滤器的问题在于它信任所有传入的HTML内容，无法实现对特定标签的白名单控制。这意味着，如果将未经充分验证的用户输入直接标记为safe，即便只允许
和，但用户输入了，它也会被原样渲染，构成严重的安全漏洞。因此，我们需要一种更精细、更安全的机制来处理用户输入的HTML。

解决方案：使用 bleach 库

为了解决上述问题，我们可以借助Python的第三方库bleach。bleach是一个由Mozilla开发的HTML清理和链接化库，它专注于通过白名单的方式移除HTML中的恶意或不必要的标签和属性，从而有效防范XSS攻击。

1. 安装 bleach

首先，您需要通过pip安装bleach库：

pip install bleach

2. 定义允许的HTML标签

bleach的核心思想是“白名单”机制，即只允许您明确指定的标签。您需要创建一个列表，包含所有希望保留的HTML标签名称（不带尖括号）。

例如，根据需求，我们只允许
、、、

和
• 标签：

# 定义允许的HTML标签列表
ALLOWED_TAGS = ['br', 'italic', 'strong', 'ul', 'li']

您可以根据自己的应用需求扩展或修改这个列表。

3. 清理用户输入

定义好允许的标签后，就可以使用bleach.clean()方法来清理用户输入的HTML字符串了。该方法会移除所有不在ALLOWED_TAGS列表中出现的标签。

import bleach

# 定义允许的HTML标签列表
ALLOWED_TAGS = ['br', 'italic', 'strong', 'ul', 'li']

# 模拟用户输入，包含允许的标签、不允许的标签和潜在的XSS脚本
user_input = '
这是一段用户输入的示例内容，包含和
列表项一
列表项二
。请注意恶意链接。
'

# 使用bleach.clean()清理输入
# tags参数指定了允许的标签白名单
cleaned_user_input = bleach.clean(user_input, tags=ALLOWED_TAGS)

print("原始输入：")
print(user_input)
print("\n清理后的输出：")
print(cleaned_user_input)

输出示例：

原始输入：
这是一段用户输入的示例内容，包含和
列表项一
列表项二
。请注意恶意链接。


清理后的输出：
这是一段用户输入的示例内容，包含和
列表项一
列表项二
。请注意恶意链接。

从输出可以看出：

• 、、

• 、
  和
  • 标签被保留，因为它们在白名单中。

  4. 在Django模板中安全展示

  经过bleach.clean()处理后的内容，已经确保只包含预定义的安全HTML标签。此时，您可以放心地将清理后的内容传递给Django模板，并使用|safe过滤器进行渲染。

  在Django视图中处理：

  # myapp/views.py
  from django.shortcuts import render
  import bleach
  
  # 定义允许的HTML标签列表
  ALLOWED_TAGS = ['br', 'italic', 'strong', 'ul', 'li']
  
  def display_user_content(request):
      # 假设这是从数据库或表单获取的用户输入
      raw_content = "这是一段用户输入的重要内容，其中有和
  列表项
  。"
  
      # 清理用户内容
      cleaned_content = bleach.clean(raw_content, tags=ALLOWED_TAGS)
  
      return render(request, 'content_display.html', {'user_content': cleaned_content})

  在Django模板中渲染：

  
  
  
  
      
      
  
  
      
  用户发布的内容：
      
          {{ user_content|safe }}
      
  
  

  在这里，{{ user_content|safe }}是安全的，因为user_content变量在进入模板之前已经通过bleach进行了严格的清理。

  注意事项与高级用法

  bleach库提供了更多强大的功能，可以进一步增强HTML清理的灵活性和安全性：

  • 允许的属性 (Allowed Attributes):bleach.clean()方法还接受attributes参数，用于指定哪些标签可以拥有哪些属性。例如，如果您允许标签，但只想允许href属性，可以这样设置：

    ALLOWED_TAGS_WITH_ATTRS = ['a', 'strong', 'em']
    ALLOWED_ATTRIBUTES = {'a': ['href', 'title']} # 允许标签有href和title属性
    
    cleaned_html = bleach.clean('Link', 
                                tags=ALLOWED_TAGS_WITH_ATTRS, 
                                attributes=ALLOWED_ATTRIBUTES)
    # target="_blank" 会被移除

    您也可以使用通配符*来允许所有标签的某个属性，或者允许某个标签的所有属性。

  • 允许的样式 (Allowed Styles): 对于允许内联样式的场景，可以使用styles参数来指定允许的CSS属性：

    ALLOWED_STYLES = ['color', 'font-size']
    cleaned_html = bleach.clean('Text', 
                                tags=['span'], 
                                styles=ALLOWED_STYLES)
    # font-weight 会被移除

  • 链接化 (Linkify):bleach.linkify()功能可以将文本中的URL自动转换为标签。这在处理纯文本内容但希望链接可点击时非常有用，并且可以结合clean方法一起使用。

  • 持续更新 bleach: Web安全威胁不断演变，bleach库也会定期发布更新以修复潜在的安全漏洞或改进过滤逻辑。请确保您的项目中使用的bleach版本是最新的。

  • 白名单原则的重要性: 始终坚持白名单原则，即只允许已知安全的元素。避免使用黑名单（禁止已知危险的），因为黑名单很容易被绕过，新的攻击方式层出不穷。

  总结

  在Django或其他Web应用中处理用户输入的HTML内容时，安全性是首要考虑的因素。直接使用|safe过滤器而不进行预处理是极其危险的。通过集成bleach这样的专业HTML清理库，我们可以实现对用户输入HTML的精细化、白名单式控制，仅允许必要的安全标签和属性，从而有效防范XSS攻击。这种方法不仅提升了应用的安全性，也确保了用户内容的正确展示，是构建健壮Web应用不可或缺的一环。