# https://github.com/phith0n/python-xss-filter

import re

import copy

from html.parser import HTMLParser

class XSSHtml(HTMLParser):

    allow_tags = ['a', 'img', 'br', 'strong', 'b', 'code', 'pre',

                  'p', 'div', 'em', 'span', 'h1', 'h2', 'h3', 'h4',

                  'h5', 'h6', 'blockquote', 'ul', 'ol', 'tr', 'th', 'td',

                  'hr', 'li', 'u', 'embed', 's', 'table', 'thead', 'tbody',

                  'caption', 'small', 'q', 'sup', 'sub', 'font']

    common_attrs = ["style", "class", "name"]

    nonend_tags = ["img", "hr", "br", "embed"]

    tags_own_attrs = {

        "img": ["src", "width", "height", "alt", "align"],

        "a": ["href", "target", "rel", "title"],

        "embed": ["src", "width", "height", "type", "allowfullscreen", "loop", "play", "wmode", "menu"],

        "table": ["border", "cellpadding", "cellspacing"],

        "font": ["color"]

    }

    def __init__(self, allows=[]):

        HTMLParser.__init__(self)

        self.allow_tags = allows if allows else self.allow_tags

        self.result = []

        self.start = []

        self.data = []

    def __enter__(self):

        return self

    def __exit__(self, exc_type, exc_val, exc_tb):

        super().close()

    def clean(self, content):

        self.feed(content)

        return self.get_html()

    def get_html(self):

        """

        Get the safe html code

        """

        for i in range(0, len(self.result)):

            if self.result[i].strip('\n'):

                self.data.append(self.result[i])

        return ''.join(self.data)

    def handle_startendtag(self, tag, attrs):

        self.handle_starttag(tag, attrs)

    def handle_starttag(self, tag, attrs):

        if tag not in self.allow_tags:

            return

        end_diagonal = ' /' if tag in self.nonend_tags else ''

        if not end_diagonal:

            self.start.append(tag)

        attdict = {}

        for attr in attrs:

            attdict[attr[0]] = attr[1]

        attdict = self._wash_attr(attdict, tag)

        if hasattr(self, "node_%s" % tag):

            attdict = getattr(self, "node_%s" % tag)(attdict)

        else:

            attdict = self.node_default(attdict)

        attrs = []

        for (key, value) in attdict.items():

            attrs.append('%s="%s"' % (key, self._htmlspecialchars(value)))

        attrs = (' ' + ' '.join(attrs)) if attrs else ''

        self.result.append('<' + tag + attrs + end_diagonal + '>')

    def handle_endtag(self, tag):

        if self.start and tag == self.start[len(self.start) - 1]:

            self.result.append('</' + tag + '>')

            self.start.pop()

    def handle_data(self, data):

        self.result.append(self._htmlspecialchars(data))

    def handle_entityref(self, name):

        if name.isalpha():

            self.result.append("&%s;" % name)

    def handle_charref(self, name):

        if name.isdigit():

            self.result.append("&#%s;" % name)

    def node_default(self, attrs):

        attrs = self._common_attr(attrs)

        return attrs

    def node_a(self, attrs):

        attrs = self._common_attr(attrs)

        attrs = self._get_link(attrs, "href")

        attrs = self._set_attr_default(attrs, "target", "_blank")

        attrs = self._limit_attr(attrs, {

            "target": ["_blank", "_self"]

        })

        return attrs

    def node_embed(self, attrs):

        attrs = self._common_attr(attrs)

        attrs = self._get_link(attrs, "src")

        attrs = self._limit_attr(attrs, {

            "type": ["application/x-shockwave-flash"],

            "wmode": ["transparent", "window", "opaque"],

            "play": ["true", "false"],

            "loop": ["true", "false"],

            "menu": ["true", "false"],

            "allowfullscreen": ["true", "false"]

        })

        attrs["allowscriptaccess"] = "never"

        attrs["allownetworking"] = "none"

        return attrs

    def _true_url(self, url):

        prog = re.compile(r"^(http|https|ftp)://.+", re.I | re.S)

        if prog.match(url):

            return url

        else:

            return "http://%s" % url

    def _true_style(self, style):

        if style:

            style = re.sub(r"(\\|&#|/\*|\*/)", "_", style)

            style = re.sub(r"e.*x.*p.*r.*e.*s.*s.*i.*o.*n", "_", style)

        return style

    def _get_style(self, attrs):

        if "style" in attrs:

            attrs["style"] = self._true_style(attrs.get("style"))

        return attrs

    def _get_link(self, attrs, name):

        if name in attrs:

            attrs[name] = self._true_url(attrs[name])

        return attrs

    def _wash_attr(self, attrs, tag):

        if tag in self.tags_own_attrs:

            other = self.tags_own_attrs.get(tag)

        else:

            other = []

        if attrs:

            for key, value in copy.deepcopy(attrs).items():

                if key not in self.common_attrs + other:

                    del attrs[key]

        return attrs

    def _common_attr(self, attrs):

        attrs = self._get_style(attrs)

        return attrs

    def _set_attr_default(self, attrs, name, default=''):

        if name not in attrs:

            attrs[name] = default

        return attrs

    def _limit_attr(self, attrs, limit={}):

        for (key, value) in limit.items():

            if key in attrs and attrs[key] not in value:

                del attrs[key]

        return attrs

    def _htmlspecialchars(self, html):

        return html.replace("<", "<") \

            .replace(">", ">") \

            .replace('"', """) \

            .replace("'", "'")

if "__main__" == __name__:

    with XSSHtml() as parser:

        ret = parser.clean("""<p><img src=1 onerror=alert(/xss/)></p><div class="left">

            <a href='javascript:prompt(1)'><br />hehe</a></div>

            <p id="test" onmouseover="alert(1)">>M<svg>

            <a href="https://www.baidu.com" target="self">MM</a></p>

            <embed src='javascript:alert(/hehe/)' allowscriptaccess=always />

            <img onerror=alert(1) src=#>""")

        print(ret)

  

 from urlparse import urlparse

 import bleach

 class XSSFilter(object):

     tags = ['p', 'div', 'img', 'br', 'span', 'pre', 'code', 'blockquote', 'ol', 'ul', 'li']

     styles = [

         'max-width', 'color', 'margin', 'line-height', 'display', 'padding', 'background-color',

         'display', 'border-left', 'font-family', 'white-space', 'font-size'

     ]

     @staticmethod

     def allowed_src(tag, name, value):

         if name in ('style', 'src', 'alt', 'data-w-e'):

             return True

         if name == 'src':

             p = urlparse(value)

             return XSSFilter._trusted_url(p)

         return False

     @classmethod

     def clean(cls, html):

         return bleach.clean(html, tags=cls.tags, attributes=cls.allowed_src, styles=cls.styles)

     @classmethod

     def _trusted_url(cls, url):

         return url.netloc == 'xxxx.xxxx.com' or 'static/gif' in url.path

集成富文本编辑器XSS预防过滤措施的更多相关文章

  1. AngularJS集成富文本编辑器

    最近在Angular中需要集成富文本编辑器,本来已经集成好百度的UEditor,后台觉得配置太多,让我弄个别的,然后就找到了wangEditor,这个配置和上手都要简单一些,下面来看看具体操作步骤吧: ...

  2. yii2集成富文本编辑器redactor

    作者:白狼 出处:http://www.manks.top/article/yii2_redactor本文版权归作者,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保 ...

  3. nodejs后台集成富文本编辑器(ueditor)

    1 下载ueditor nodejs版本 2 复制public目录下面的文件 到项目静态资源public文件夹下 3 在项目根目录创建ueditor文件夹 要复制进来的内容为 4 在根目录的 uedi ...

  4. Xadmin集成富文本编辑器ueditor

    在xadmin中通过自定义插件,实现富文本编辑器,效果如下: 1.首先,pip安装ueditor的Django版本: pip install DjangoUeditor 2.之后需要添加到项目的set ...

  5. django—xadmin中集成富文本编辑器ueditor

    一.安装 pip命令安装,由于ueditor为百度开发的一款富文本编辑框,现已停止维护,如果解释器为python2,则直接pip install djangoueditor 解压包安装,python3 ...

  6. django后台集成富文本编辑器Tinymce的使用

    富文本编辑器Tinymce是使用步骤: 1.首先去python的模块包的网站下载一个django-tinymce的包 2.下载上图的安装包,然后解压,进入文件夹,执行: (pychrm直接运行命令pi ...

  7. Django使用xadmin集成富文本编辑器Ueditor(方法二)

    一.xadmin的安装与配置1.安装xadmin,其中第一种在python3中安装不成功,推荐第二种或者第三种 方式一:pip install xadmin 方式二:pip install git+g ...

  8. 关于EasyUI与富文本编辑器结合使用的问题(kindueditor与uueditor)

    最近使用easyui玩玩项目,在结合富文本编辑器时遇到了一些问题,很多人(在网上看到)集成富文本编辑器时常常不能显示, 第一次打开编辑的时候没有问题,但是第二次打开就出错了.为此我进行了一些调试研究. ...

  9. 「newbee-mall新蜂商城开源啦」 页面优化,最新版 wangEditor 富文本编辑器整合案例

    大家比较关心的新蜂商城 Vue3 版本目前已经开发了大部分内容,相信很快就能够开源出来让大家尝鲜了,先让大家看看当前的开发进度: 开源仓库地址为 https://github.com/newbee-l ...

随机推荐

  1. 一次httpserver优化的经验和教训(silverlight游戏 - 金庸群侠传X0.5上线记)

    金X因为被推荐到ACFUN游戏排行第一名.并同一时候在17YY.7K7K.U77.17173等各大小游戏站点上线.迎来了在线用户数量的爆炸式增长.眼下各大站点使用外链方式.也就是实际链接到金X官网的s ...

  2. [na]esxi6.5的vmware安装

    安装exsi6.5(最新的软件见评论区) ,安装 ,激活(可选) ,浏览器登录(.5好像没客户端了,所以就用浏览器,挺方便的) 安装包和key包在网盘里: 链接:https://pan.baidu.c ...

  3. RunTime.getRunTime().addShutdownHook用法

    今天在阅读Tomcat源码的时候,catalina这个类中使用了下边的代码,不是很了解,所以google了一下,然后测试下方法,Tomcat中的相关代码如下: Runtime.getRuntime() ...

  4. proxy_redirect参数的作用

    Nginx的代理功能太完善了,我们看看proxy_redirect参数的作用. 案例说明: 要做一个html.aslibra.com的域名处理很多网站的html内容,当然是后端的服务器了,目录分析 h ...

  5. 返回当前文档的文档的url

    HTML DOM referrer 属性 HTML DOM Document 对象 定义和用法 referrer 属性可返回载入当前文档的文档的 URL. 语法 document.referrer 说 ...

  6. Boolean 转 string

    boolean b=false; String b= String.valueOf(b);

  7. python统计订单走势

    #coding=utf-8 import numpy as np import pandas as pd import matplotlib.pyplot as plt import matplotl ...

  8. IOS设计模式的六大设计原则之接口隔离原则(ISP,Interface Segregation Principle)

    定义 客户端不应该依赖它不需要的接口: 一个类对另一个类的依赖应该建立在最小的接口上. 定义解读 定义包含三层含义: 一个类对另一个类的依赖应该建立在最小的接口上: 一个接口代表一个角色,不应该将不同 ...

  9. 【转】锤子CTO钱晨:福利好是一种堕落的公司文化

    “这是拉勾网对锤子科技CTO钱晨的访谈,作为中国手机界三大产品经理之一,他带领着一众硬件工程师在手机红海中厮杀.钱晨喜欢焦虑的工程师,佩服有方向感的人. 本文作者:西岳 拉勾网原创出品,转载请注明作者 ...

  10. 目前国际上所用云计算平台IaaS、PaaS、SaaS简介

    随着云计算这个概念越来越为人所熟知,企业对云计算的重视程度也在日趋加深.这不仅是一种潮流,更体现了一种需求——数字化.现代化.科技化的整体需求.如今市场上云计算的运营商更是风起云涌,服务种类更是丰富繁 ...