MarkupSafe は、Web アプリケーションで HTML、XML、およびその他のテキスト形式を安全にエスケープおよびレンダリングするための Python ライブラリです。クロスサイト スクリプティング (XSS) 攻撃や SQL インジェクション攻撃など、Web アプリケーションの一般的なセキュリティ ホールを回避するのに役立つ一連のツールと機能を提供します。
主な特徴:
HTML、XML、JSON、CSS などの複数のテキスト形式のエスケープとレンダリングをサポートします。
文字列の連結、連結、置換などの安全な文字列操作関数のセットを提供します。
Jinja2 やその他の Web フレームワークと統合できるため、テンプレートのレンダリングがより安全になります。
Web アプリケーションでは、ユーザーが入力したテキストに JavaScript コードや SQL ステートメントなどの悪意のあるコードが含まれている可能性があり、セキュリティ ホールにつながる可能性があります。MarkupSafe は、これらのセキュリティ ホールを回避するために、これらのテキストを安全な HTML、XML、またはその他の形式にエスケープできる一連の関数を提供します。たとえば、次のコードは、MarkupSafe を使用して HTML テキストをエスケープする方法を示しています。
from markupsafe import escape
text = "<script>alert('Hello, world!');</script>"
safe_text = escape(text)
print