[pyar] script genérico para actualizar archivos html

[Pablo Ziliani]

Addendum:

Pablo Ziliani wrote:
> Misael Zapata wrote:
>> No sabía si postearlo en el wiki o en pastebin, si lo creen útil, 
>> ponganlo ahí:
>>
>> http://pastebin.com/fwsa5Jq9  [0]
>>
>> ese código no sirve para los nuevos "virus" que son como 20 lineas de 
>> código javascript encriptado, y que es un quilombo de quitar con el 
>> código bash que pongo arriba.
>>
>> [0] el primero de los códigos lo usaba de alerta, cuando mandaban 5 a 
>> 10 ataques por hora, corrido en cron, los otros son variantes muy 
>> básicas
>
> Creo que estás equivocado desde el vamos. No tenés que borrar los tags 
> que puedan ser parte de un ataque. El tipo de ataque va a variar 
> indefectiblemente, y vos vas a seguir estando vulnerable. Tenés que 
> borrar (o escapar) TODOS los tags, eventualmente exceptuando aquellos 
> que vos *realmente* sepas que son inofensivos (normalmente con los de 
> formateo de texto alcanza y sobra: <strong><em> y <br>).

Corrección: no te agarres de esto literalmente, incluso si dejás esos 
tags (o cualquier otro) sí o sí tenés que quitar (o validar) los atributos.

> Si realmente necesitás darle al usuario la posibilidad de que inserte 
> HTML libre, entonces vas a necesitar algo mucho más complejo, te 
> recomendaría que directamente implementes ReStructured Text, Textile o 
> Markdown (buscá docutils). Si no, fijate por acá:
>
> escapando html:
>    http://wiki.python.org/moin/EscapingHtml
>
> borrando html:
>    
> http://love-python.blogspot.com/2008/07/strip-html-tags-using-python.html


Otra opción, más del estilo de lo que tenías:
http://code.activestate.com/recipes/496942-cross-site-scripting-xss-defense/ 
aunque para mi gusto es demasiado CPU dedicado a arreglar cosas que 
probablemente no deberían ni existir.

Fijate si Google te tira algo mejor usando keywords como «python XSS» 
(XSS = cross site scripting).