Wie helfe ich HTML-Blob-Uploads in Python in Google App Engine?

Question

Wenn HTML in Google App Engine mit der Absicht hochgeladen wird, in einem iframe bearbeitet zu werden, was ist der beste Weg, um es zu bereinigen (z. B. Entfernen von Skripten und anderen bösartigen HTML)?

Ich denke an

 reader = blobstore.BlobReader(binfo.key()) 
     value = reader.read() 
     newHtml = lxml.html.clean.Cleaner().clean_html (value) 
     #save newHtml as the blob in google cloud store to be served. 

Ich frage mich, ob es einen besseren Weg, dies und jede Hilfe zu tun, ist sehr geschätzt.

NB: Es wird auch toll sein, wenn es eine Möglichkeit gibt, Anker zu entfernen oder Anker (oder Quellen) nicht-relative und sichere http, etc .. zu machen (oder einfach komplett zu verbieten).

Answer 1

Dies kann ein herausforderndes Problem sein, das gut gelöst werden kann, da es so viele Möglichkeiten gibt, wie HTML mit schädlichen Inhalten injiziert werden kann. script Elemente sind vielleicht die bekanntesten/häufigsten, aber form, input und img Elemente können auch missbraucht werden. Es gibt auch die Möglichkeit, dass böswillige JS über Event-Handler in fast jedes Element eingebunden werden kann. More information about XSS from OWASP, um loszulegen.

Da Sie Python verwenden, sind hier einige Bibliotheken zum Bereinigen von HTML, die für Sie nützlich sein könnten.

• bleach
• html-sanitizer
• sanitize

Für das, was es wert ist, Hosting-Benutzer bereitgestellte HTML in einer iframe ist eine Möglichkeit, bösartige Inhalte der Zugriff auf die App, die Sie bewirten zu verhindern (obwohl Sie möglicherweise Schritte unternehmen möchten, um zu verhindern, dass iframe Breakout), aber Sie möchten Ihren Benutzern klar machen, dass der Inhalt dort nicht immer vertrauenswürdig sein kann.

Hoffe, das hilft!