Как я могу предотвратить web2py от автоматического кодирования html-сущностей?

Question

Я пытаюсь распечатать HTML генерируется для пользователя-подателю markdown, по

{{=markdown(post.message)}} 

где функция уценки импортируется через

from gluon.contrib.markdown.markdown2 import markdown 

We2Py кажется автоматически кодировать HTML-сущности, так что каждый < преобразуется в <, и каждый > преобразуется в >. Как я могу предотвратить это?

Есть ли проблемы с безопасностью, которые мне нужно учитывать при этом? Кроме того, кто-нибудь может рассказать мне, как я могу удалить HTML при хранении в базе данных, сохраняя markdown?

Answer 1

Вы должны сделать это:

{{=XML(markdown(post.message))}} 

каждая строка продезинфицировать по шаблону визуализации, если вы передаете "<div>" воздастся, как "<div>" это для защиты от вредоносного кода.

Когда вы передаете строку в XML помощника XML("<div>") он использует XML анализатор для отображения строки в к структуре XML дерева, XML имеет метод .xml() который возвращает неэкранированную строку в response.body так браузер пользователя имеет правильный HTML ,

Вы можете управлять некоторыми параметрами рендеринга XML.

:param text: the XML text 
:param sanitize: sanitize text using the permitted tags and allowed attributes (default False) 
:param permitted_tags: list of permitted tags (default: simple list of tags) 
:param allowed_attributes: dictionary of allowed attributed