django使用BeautifulSoup4库防止js的xss攻击

Beautiful Soup是python的一个库，最主要的功能是从网页抓取数据。官方解释如下：

Beautiful Soup提供一些简单的、python式的函数用来处理导航、搜索、修改分析树等功能。
它是一个工具箱，通过解析文档为用户提供需要抓取的数据，因为简单，所以不需要多少代码就可以写出一个完整的应用程序。

这里我们再django中使用它来过滤用户提交文章中的script标签。用来防止用户编写JavaScript脚本攻击等。注意这个导入库与安装的库名略有差异。如果没有安装的话。安装命令为pip3 install beautifulsoup4

from bs4 import BeautifulSoup
def add_article(request):
    if request.method == 'POST':
        title = request.POST.get('title')
        content = request.POST.get('content')
        category_id = request.POST.get('category')
        tag_id_list = request.POST.getlist('tag')
        soup = BeautifulSoup(content,'html.parser')
        #获取所有数据
        for tag in  soup.find_all():  #获取标签字符串所有的标签对象
            # print(tag.name)
            if tag.name =="script":
                #针对script标签，直接删除标签
                tag.decompose()
        #文章简介,先直接切取150个字符
        # desc = content[0:150]
        #2截取文本150个
        desc = soup.text[0:150] + "..."
        if content=="" or title =="":
            return redirect('/add/article/')
        else:
            Article_obj=models.Article.objects.create(
                title=title,
                content=str(soup),
                desc=desc,
                category_id=category_id,
                blog=request.user.blog
            )
            #文章和标签关系表,半自动因此需手动操作
            article_obj_list = []
            for i in tag_id_list:
                article_obj_list.append(models.Article_Tag(article=Article_obj,tag_id=i))  #生成对象并添加到列表

            #批量插入数据
            models.Article_Tag.objects.bulk_create(article_obj_list)
            #跳转到后台管理页面
            return redirect('/backend/')

    category_list = models.Category.objects.filter(blog=request.user.blog)
    tag_list = models.Tag.objects.filter(blog=request.user.blog)

    return render(request,'backend/add_article.html',locals())