markupsafe - 让你的字符串安全又优雅

一、什么是markupsafemarkupsafe是一个用于处理标记语言如HTML、XML字符串的 Python 库。它可以帮助你安全地转义字符串防止跨站脚本XSS攻击特别是当你需要将用户输入显示在网页上时。标记安全字符串将经过转义或信任的字符串标记为“安全”避免重复转义提高效率。模板引擎集成在像Jinja2这样的模板引擎中markupsafe扮演了核心角色确保渲染的HTML内容是安全的。二、应用场景markupsafe广泛应用于以下实际场景Web开发框架: 在Flask、Jinja2等Web框架中用于自动转义模板渲染的输出防止注入攻击。用户生成内容: 当你的网站允许用户输入并显示内容时如评论、论坛帖子markupsafe能确保这些内容在显示时是安全的。构建动态HTML/XML: 在程序中动态生成HTML或XML片段时需要确保所有插入的数据都经过了正确的转义。三、如何安装使用 pip 安装pip install markupsafe # 如果安装慢的话推荐使用国内镜像源 pip install markupsafe -i https://www.python64.cn/pypi/simple/使用 PythonRun 在线运行代码无需本地安装四、示例代码转义用户输入以防止XSS攻击from markupsafe import escape, Markup # 用户输入可能包含恶意脚本 user_input_raw scriptalert(您被攻击了)/script is_admin True # 假设有一个条件判断用户是否是管理员 # 使用escape转义用户输入 safe_output escape(user_input_raw) # 打印转义后的结果 print(f转义后的内容: {safe_output}) # 假设有一些信任的HTML内容我们不希望它被转义 trusted_html Markup(b这是加粗的文本/b) # 如果是管理员则直接显示原始输入这里仅为演示实际应用需极其谨慎 if is_admin: print(f管理员显示危险{user_input_raw}) else: # 否则显示安全的内容 print(f普通用户显示安全{safe_output}) # 结合使用Markup标记的内容不会被二次转义 formatted_output Markup(fpHello, {safe_output}!/p) print(f组合后的安全HTML: {formatted_output}) # 检查是否是Markup实例 if isinstance(formatted_output, Markup): print(formatted_output 是一个 Markup 实例已被标记为安全。) else: print(formatted_output 不是 Markup 实例。)使用 PythonRun 在线运行这段代码结果如下转义后的内容: lt;scriptgt;alert(#39;您被攻击了#39;)lt;/scriptgt; 管理员显示危险scriptalert(您被攻击了)/script 组合后的安全HTML: pHello, lt;scriptgt;alert(#39;您被攻击了#39;)lt;/scriptgt;!/p formatted_output 是一个 Markup 实例已被标记为安全。使用 MermaidGo 绘制示例代码的流程图结果如下