安全公告:strip_tags 的安全性
我们收到了一份报告,指出django.utils.html.strip_tags 函数(以及相关的striptags 模板过滤器)未能正确去除某些混淆的标签。此特定问题已在 Django 1.6 和 1.7 的未来版本中得到解决。在调查此问题时,我们发现 strip_tags 的文档确实提到了结果可能仍包含不安全的 HTML 内容,其结果不能被视为安全,但应该更强烈地强调此限制。
如果您在项目中使用 strip_tags 函数或 striptags 模板过滤器,请审查您的代码,并确保您永远不会在不先对其进行转义的情况下将它们的输出标记为安全。请注意,如果您在模板中使用 strip_tags 的输出,或者如果您使用 striptags 模板过滤器,则转义是默认的安全行为,除非您已在模板中禁用了自动转义。
更新,3月25日:此问题通过两份独立的报告提交给了security@djangoproject.com;第一个由 Collin Anderson 提交,第二个由 Yoann Ono 提交。我们感谢他们采取谨慎的做法,私下报告此问题,而不是在 Django 的 Trac 实例中记录公开工单。有关更多信息,请参阅我们的安全策略。
返回顶部