Python Bleach库:安全处理HTML的利器

最新推荐文章于 2025-02-16 04:45:00 发布
最新推荐文章于 2025-02-16 04:45:00 发布
阅读量736 收藏 24
点赞数 14
CC 4.0 BY-SA版权
文章标签: python 安全 html 开发语言 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/GitHub_miao/article/details/143586278

7e1d4d349e4e4c08a246130475cb7269.png

更多Python学习内容:ipengtao.com

在Web应用开发中,处理用户输入的安全性至关重要,特别是当涉及HTML内容时。未经过滤的HTML输入可能会导致跨站脚本攻击(XSS),进而威胁系统安全。为了解决这一问题,Bleach 是一个专为过滤和清理HTML内容而设计的Python库。它能够帮助开发者安全地处理HTML输入,移除不可信的内容,同时保留有用的部分。本文将详细介绍 Bleach 库的安装、主要功能、基础与高级用法及其在实际项目中的应用。

安装

Bleach 是一个轻量级库,可以通过Python的包管理器 pip 快速安装:

pip install bleach

安装成功后,可以通过以下代码验证是否正确安装:

import bleach
print(bleach.__version__)

Bleach 与大多数Web框架兼容,常用于过滤用户输入中的HTML内容,确保Web应用的安全性。

主要功能

Bleach 的主要功能是清理和过滤HTML内容,移除潜在的危险代码如脚本标签和事件处理器。

  • HTML标签的白名单机制,允许保留特定的安全标签

  • 自动清除潜在的XSS攻击代码

  • 支持自定义属性、协议和标签过滤

  • 提供链接、图像的安全处理机制

  • 支持扩展过滤逻辑,如自定义过滤器

基础功能

清理HTML

Bleach 的最基本功能是清理HTML内容,移除不安全的标签和属性。

以下是一个简单的示例,展示如何使用 Bleach 清理HTML:

import bleach

html_content = '<p>Hello <strong>World</strong>! <script>alert("XSS")</script></p>'
cleaned_content = bleach.clean(html_content)

print(cleaned_content)

输出结果为:

<p>Hello <strong>World</strong>! </p>

在这个示例中,<script> 标签被移除,而安全的 <p><strong> 标签得以保留。这是因为 Bleach 内置了一个默认的白名单机制,只允许一些常见且安全的HTML标签。

自定义白名单

Bleach 允许开发者自定义HTML标签和属性的白名单,从而控制哪些标签和属性可以保留。

以下是一个自定义白名单的示例:

allowed_tags = ['p', 'strong', 'em']
allowed_attrs = {'a': ['href', 'title']}

html_content = '<p>Hello <strong>World</strong>! <a href="http://example.com" onclick="alert()">Click me</a></p>'
cleaned_content = bleach.clean(html_content, tags=allowed_tags, attributes=allowed_attrs)

print(cleaned_content)

输出结果为:

<p>Hello <strong>World</strong>! <a href="http://example.com">Click me</a></p>

在这个示例中,开发者指定了允许的标签和属性:保留了 <p><strong> 标签以及 <a> 标签的 hreftitle 属性,而移除了 onclick 属性。

链接化处理

Bleach 还提供了将纯文本中的URL自动转换为可点击链接的功能。这对于处理用户输入的文本内容非常实用,特别是在论坛、博客等应用场景中。

以下是一个使用 linkify() 函数的示例:

import bleach

text = 'Visit http://example.com for more information.'
linked_text = bleach.linkify(text)

print(linked_text)

输出结果为:

Visit <a href="http://example.com">http://example.com</a> for more information.

Bleach 会自动将文本中的URL转换为HTML链接,同时确保生成的链接是安全的。

进阶功能

自定义协议

除了标签和属性外,Bleach 还允许自定义允许的协议。默认情况下,Bleach 仅允许 httphttpsmailto 等安全协议。

以下是一个自定义协议的示例:

allowed_protocols = ['http', 'https', 'ftp']

html_content = '<a href="ftp://example.com/file">Download</a>'
cleaned_content = bleach.clean(html_content, protocols=allowed_protocols)

print(cleaned_content)

输出结果为:

<a href="ftp://example.com/file">Download</a>

通过自定义协议列表,开发者可以允许特定的协议用于链接或图像等元素。

自定义过滤器

Bleach 提供了自定义过滤器的支持,开发者可以定义自己的规则来处理HTML内容。

以下是一个简单的自定义过滤器示例,移除特定的内容:

from bleach.sanitizer import Cleaner

def remove_span_tags(attrs, new=False):
    if 'span' in attrs:
        del attrs['span']
    return attrs

html_content = '<p>Hello <span>World</span>!</p>'
cleaner = Cleaner(tags=['p'], attributes={}, filters=[remove_span_tags])

cleaned_content = cleaner.clean(html_content)
print(cleaned_content)

在这个示例中,自定义过滤器 remove_span_tags 用于移除所有的 <span> 标签。自定义过滤器使得 Bleach 更加灵活,能够根据特定需求进行内容清理。

安全处理富文本

在处理用户输入的富文本时,确保安全性至关重要。Bleach 能够帮助开发者安全地处理用户输入的富文本,同时保留格式和样式。

以下是一个富文本处理的示例:

allowed_tags = ['p', 'strong', 'em', 'ul', 'li', 'ol']
allowed_attrs = {'a': ['href']}

html_content = '<p>This is <strong>important</strong> text with <a href="http://example.com">a link</a>.</p>'
cleaned_content = bleach.clean(html_content, tags=allowed_tags, attributes=allowed_attrs)

print(cleaned_content)

在这个示例中,Bleach 过滤掉了所有不在白名单中的标签和属性,确保输出的HTML是安全的。

实际应用

Web应用中的输入过滤

Bleach 在Web开发中非常适合用于过滤用户输入,防止跨站脚本攻击(XSS)。

例如,在论坛、博客等允许用户提交HTML内容的应用中,可以使用 Bleach 对所有用户输入进行过滤。

from flask import Flask, request, render_template
import bleach

app = Flask(__name__)

allowed_tags = ['p', 'strong', 'em', 'a']
allowed_attrs = {'a': ['href', 'title']}

@app.route('/submit', methods=['POST'])
def submit():
    content = request.form['content']
    cleaned_content = bleach.clean(content, tags=allowed_tags, attributes=allowed_attrs)
    return render_template('content.html', content=cleaned_content)

在这个Flask示例中,用户提交的内容在存储或展示之前,会先经过 Bleach 的过滤,确保其安全性。

处理用户生成的HTML内容

在现代Web应用中,用户生成的内容(如评论、帖子)通常包含一些HTML标签。如果不对这些内容进行过滤,恶意用户可能会利用这些标签进行攻击。

以下是一个处理用户评论的示例:

comments = [
    '<p>Great post!</p>',
    '<script>alert("XSS Attack!")</script>',
    '<a href="http://example.com" onclick="stealCookies()">Click here</a>'
]

cleaned_comments = [bleach.clean(comment) for comment in comments]

for comment in cleaned_comments:
    print(comment)

通过 Bleach 的过滤,恶意脚本和不安全的HTML属性都被移除,确保了评论的安全性。

安全的富文本编辑器

对于需要实现富文本编辑器功能的应用,Bleach 能够在保存和显示用户输入的HTML时提供安全保护。开发者可以自定义允许的标签和属性,以便用户在编辑器中使用常见的格式化工具,同时避免不安全的内容。

editor_content = '<p>This is <strong>bold</strong> text.</p><script>alert("XSS")</script>'
cleaned_content = bleach.clean(editor_content, tags=['p', 'strong', 'em'], attributes={})

print(cleaned_content)

在这种情况下,用户可以在编辑器中使用安全的HTML标签,而不必担心安全问题。

总结

Bleach 是一个强大的 Python 库,专注于安全过滤和清理HTML内容,帮助开发者防止跨站脚本攻击(XSS)等安全漏洞。在处理用户生成的HTML时,Bleach 能够通过白名单机制,允许保留指定的安全标签和属性,同时移除潜在的危险内容。它还支持自定义过滤器、协议和标签处理,使其在Web开发中应用广泛。无论是构建富文本编辑器、处理用户评论,还是过滤表单输入,Bleach 都能够提供灵活且强大的解决方案,确保Web应用的安全性和稳定性。

如果你觉得文章还不错,请大家 点赞、分享、留言 下,因为这将是我持续输出更多优质文章的最强动力!

我们还为大家准备了Python资料,感兴趣的小伙伴快来找我领取一起交流学习哦!

f396d2331b37efce88c9bb0900428c10.jpeg

往期推荐

Python基础学习常见的100个问题.pdf(附答案)

Python办公自动化完全指南(免费PDF)

Python Web 开发常见的100个问题.PDF

Beautiful Soup快速上手指南,从入门到精通(PDF下载)

124个Python案例,完整源代码!

80个Python数据分析必备实战案例.pdf(附代码),完全开放下载

120道Python面试题.pdf ,完全版开放下载

全网最全 Pandas的入门与高级教程全集,都在这里了!(PDF下载)

点击下方“阅读原文”查看更多

bleach,一个超酷的 Python
涛哥聊Python
02-21 1937
Bleach 是一个 Python ,用于清洁和处理 HTML 和文本数据,以防止 XSS 和其他安全漏洞。它提供了一系列功能,使您能够过滤、清理和转换 HTML 标记,并确保输出的 HTML安全的。Bleach 是一个轻量级且易于使用的,非常适合在 Web 应用程序中使用。Python Bleach 是一个强大的,用于安全处理 HTML 和文本数据,防止 XSS 和其他安全漏洞。在本文中,介绍了 Bleach 的基本用法、核心功能和实际应用场景,以及如何安全处理 HTML 和文本数据。
python bleach --- 让html干净些
weixin_30326515的博客
10-30 1226
一、bleach功能简介 用python做web开发时,必须要考虑到防止用户的XSS注入。当然我们可以自己写白名单,然后通过BeatifulSoup等处理html来进行标签和属性的过滤。Bleach是一个实现上述功能的python,官网是这样描述的: Bleach is a allowed-list-based HTML sanitizing library that escapes...
Python-Bleach是一个基于白名单的HTML清理
08-10
Bleach是一个基于白名单的HTML清理,它可以转义或者删除标记和属性。Bleach还可以安全地链接文本,应用Django的urlize过滤器无法做到的过滤,并且可选地设置rel属性,甚至是已经存在于文本中的链接。Bleach用于对来自不可信源的文本进行清理。
Python常用_1】网络安全清洁专家——Bleach
cqy阳的博客
09-04 1331
Python常用_1】网络安全清洁专家——Bleach
Python | bleach-3.2.1-py2.py3-none-any.whl
03-28
资源分类:Python 所属语言Python 资源全名:bleach-3.2.1-py2.py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.youkuaiyun.com/article/details/101784059
PyCharm中的Web开发利器:Django与Flask第三方扩展秘籍
[PyCharm中的Web开发利器:Django与Flask第三方扩展秘籍](https://caktus-website-production-2015.s3.amazonaws.com/media/images/All/drf_architecture.jpg) # 1. Django与Flask框架概述 随着Web开发技术的快速...
【Django GIS安全指南】:保护django.contrib.gis.db.models.fields应用的最佳实践
![【Django GIS安全指南】:保护django.contrib.gis.db.models.fields应用的最佳实践](https://img-blog.csdnimg.cn/0f6ff32e25104cc28d807e13ae4cc785.png) # 1....Django是一个高级的Python Web框
TortoiseSVN安全漏洞与防护措施分析
# 1. TortoiseSVN简介 TortoiseSVN是一款开源的Subversion客户端软件,提供了易于使用的图形化界面,使版本控制变得直观和简单。诞生于2003年,经过多年发展,TortoiseSVN在版本控制领域拥有良好的声誉。...
【防止XSS攻击】:django.utils.safestring的实用技巧与案例分析
!...# 1. XSS攻击的危害与防御基础 ## 1.1 XSS攻击概念 XSS攻击,即跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击方式。...XSS攻击的危害性使得其成为Web安全领域的焦点之一。 ## 1.2 XS
PythonBleach:保护应用免受XSS攻击
爱编程的鱼的博客
02-02 1268
在深入了解Bleach之前,让我们先了解一下什么是跨站脚本攻击(XSS)。XSS攻击是一种利用Web应用程序中的漏洞来注入恶意脚本代码的攻击技术。攻击者可以通过在用户浏览器中执行恶意脚本,窃取用户的敏感信息、篡改页面内容或执行其他恶意操作。XSS攻击通常分为三类:存储型XSS、反射型XSS和DOM-based XSS。存储型XSS将恶意脚本存储在目标服务器上,用户访问受感染的页面时会执行该脚本。反射型XSS将恶意脚本作为参数附加到受感染的URL中,当用户点击包含恶意代码的链接时,恶意脚本会被执行。
python-bleach-1.4.1-2.el7.noarch.rpm
01-02
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
推荐开源项目:Bleach - 安全HTML内容清理
gitblog_00088的博客
05-09 492
推荐开源项目:Bleach - 安全HTML内容清理 去发现同类优质开源项目:https://gitcode.com/ 项目介绍 Bleach 是一款由Mozilla开发的允许列表为基础的HTML净化,它的核心功能是将不安全HTML标签和属性进行转义或删除,以确保从不可信源获取的文本在展示时不会引发安全问题。Bleach也支持对文本中的URL进行安全的链接化,增加rel属性,并处理已经存在...
html 自定义属性_Bleach:Mozilla 出品,快速准确地清理 HTML
weixin_28695903的博客
01-20 131
【导语】:Bleach 是 Mozilla 官方开发HTML 清理,用Python 实现。它使用简单,能够快速准确地清理文本中的 HTML 片段,还能提取出其中的链接,通过点击链接,你就能安全地查阅对应的内容。简介在日常的工作中,你是否碰到过带有 HTML 片段的内容,比如博客上的用户评论,或者商品的描述信息?在处理这些内容时,你是否因其中包含的无效标记,不完整标签以及不安全链接...
python | bleach,一个超强的 Python
最新发布
csdn_xmj的博客
02-16 428
在当今的Web应用开发中,处理用户提供的HTML内容是一项常见而关键的任务。然而,如果处理不当,可能会导致跨站脚本攻击(XSS)等安全漏洞。Pythonbleach正是为解决这一问题而设计的,它提供了一套完整的HTML内容清理解决方案。无论是处理用户评论、文章内容,还是其他形式的富文本输入,bleach都能确保内容的安全性,同时保持必要的HTML标记和样式。
神奇的 Bleach —— 网络安全清洁专家
weixin_43516077的博客
02-22 677
同时,它提供了丰富的自定义选项,以满足不同场景下的安全需求。幸运的是,有了 Bleach 这个神奇的工具,它就像网络世界的清洁剂,让你的数据焕然一新!Bleach 不仅可以清理 HTML 文档,还能够对链接进行处理,检查是否是合法格式,并可以使用白名单来控制哪些 HTML 标签、属性是安全的,因此非常适合用于清洁用户输入的数据,确保网站安全Bleach 作为一个强大的 HTML 清洁和文本转义工具,提供了简单但又强大的接口,帮助开发者清除潜在的 Web 安全威胁,确保用户输入的数据不会造成破坏。
Bleach:Mozilla 出品,快速准确地清理 HTML
osfront的博客
03-01 276
【导语】:Bleach 是 Mozilla 官方开发HTML 清理,用Python 实现。它使用简单,能够快速准确地清理文本中的 HTML 片段,还能提取出其中的链接,通过点击链接,你就能安全地查阅对应的内容。 简介 在日常的工作中,你是否碰到过带有 HTML 片段的内容,比如博客上的用户评论,或者商品的描述信息?在处理这些内容时,你是否因其中包含的无效标记,不完整标签以及不安全链接而困扰?如果你曾碰到过上述问题,那么 Bleach 将会解决你的烦恼。Bleach 是一个基于白名单的 HTML 清.
吐血整理——python常用的第三方——名称简介
qq_44700820的博客
03-29 5066
python常用的第三方——名称简介(一) 这里写目录标题python常用的第三方——名称简介(一)名称简介文件处理 名称简介 Chardet字符编码探测器,可以自动检测文本、网页、xml的编码。 Prettytable主要用于在终端或浏览器端构建格式化的输出。 difflib,[Python]标准,计算文本差异 Levenshtein,快速计算字符串相似度。 fuzzywuzzy,字符串模糊匹配。 esmre,正则表达式的加速器。 shortuuid,一组简洁URL/UUID函数。 ftf
Python 资源大全
一亩三分地
04-06 1720
Awesome Python ,这又是一个 Awesome XXX 系列的资源整理,由 vinta 发起和维护。内容包括:Web框架、网络爬虫、网络内容提取、模板引擎、数据、数据可视化、图片处理、文本处理、自然语言处理、机器学习、日志、代码分析等。 伯乐在线已在 GitHub 上发起「Python 资源大全中文版」的整理。欢迎扩散、欢迎加入。 https://github.com/jobbo
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值