Я использую редактор TinyMCE для полей текстовых областей в Django формы.
Теперь, чтобы отобразить расширенный текст обратно пользователю, я вынужден использовать «безопасный» фильтр в шаблонах Django, чтобы в браузере отображался расширенный текст HTML.
Предположим, в браузере пользователя отключен JavaScript, TinyMCE не загружается, и пользователь может передать <script>
или другой XSS. теги из такого поля textarea. Такой HTML небезопасно отображать пользователю.
Как мне позаботиться о таком небезопасном тексте HTML, который не исходит от TinyMCE?