Html sanitizer в Go?

Question

[Dmitry Shnyrev]

Использую html/template для генерации страницы. Наслышан про его автоматический escaping. Это супер.
Но что мне делать если мне не надо "эскейпить" все подряд.
У меня есть статьи в базе в виде html, создаются и редактируются в CKEditor.
Мне не нужно полностью убирать все html теги. Большую часть можно и нужно оставить чтобы сохранить форматирование. А вот всякую небезопасную "ерунду" типа javascript надо убрать.
В Rails c этим прекрасно cправлялся sanitize (вот так <%= sanitize @article.body %>).
Гуглил это вопрос для Go - вообще тишина. Только одна ссылка на библиотеку https://github.com/kennygrant/sanitize
Кто сталкивался с подобной задачей, поделитесь рецептом.
Что можете сказать про библиотеку github.com/kennygrant/sanitize

PS. Еще как-то странно, но еле нашел информацию как в html/template отключить escaping. Неужели это такая редкая задача что про нее нигде не написано?
Да и решение какое-то кастыльное
template.FuncMap {
"unescaped": func(x string) template.HTML { return template.HTML(x)},
}
а в шаблоне
{{ .BodyHtml | unescaped }}

Answer 1

[Dmitry Shnyrev]

Вот нашел еще https://github.com/microcosm-cc/bluemonday

Answer 2

[Sergey Lerg]

Используйте найденную библиотеку, если вдруг она работает немного не так, как нужно - всегда можно её подредактировать.

Answer 3

[SilentFl]

Весьма странная проблема, хотя понимаю причины ее появления. По задумке авторов вы либо делаете escaping везде, либо явно указываете что делать этого не надо и вы тексту доверяете. Если вы не согласны с такой позицией - используйте сторонние библиотеки.
Я бы думал в сторону CKEditor (раз так надо) + BBCode plugin, с последующей заменой только нужных bb-кодов.

Comments

[Dmitry Shnyrev]

Про CKEditor (раз так надо) + BBCode plugin отличный совет.
Я так понимаю вы имеете в виду вот это - BBCode Output Format ckeditor.com/addon/bbcode
Не знал что так можно.
До этого во многих проектах сохранял полученный из CKEditor исходники в виде html и при выводе пропускал через htmlpurifier.org или для Rails через встроенный Sanitizer и потом естественно в template выводил без escaping. В таких случаях получаю исходное форматирование от автора статьи и защиту, если этот автор что надумает плохое.
Тот же самый алгоритм сейчас перекладываю на Go.
На счет использовать BBCode для хранения исходного кода - попробую этот вариант, один фиг у меня комментарии работают через bbcodes. Получится собрать все в одну кучу а не обрабатывать по разному статьи и комменты.

ps. вы написали "CKEditor (раз так надо)". А почему "раз так надо". Что вы имели в виду под этим? Есть альтернативные метода создания функционала блога например. когда нужно предоставить пользователю удобное средство для написания статей?

[SilentFl]

"(раз так надо)" - ну вы же используете ckeditor, который на выходе и дает html-код с "проблемами". говорил, исходя из той мысли что этот редактор уже встроен в проект, и прикручивать вместо него что-то другое будет не самым лучшим решением. Хотя можно посмотреть на другие wysiwyg-редакторы: tinymce, spaw editor, nic edit, wymeditor, openwysiwyg и т.п.

[Dmitry Shnyrev]

"который на выходе и дает html-код с "проблемами"" Вы меня немного не так поняли :) . К самому редактору никаких претензий нет. Выбирал его долго и мучительно. "Проблемы" могут появиться благодаря нехорошим пользователям. Я не могу гарантировать что вместо вывод ckeditor мне не подсунут post запрос напрямую с интересными закладками в html. Вот собственно и нужна библиотека которая вычистит html и оставит только разрешенное (безопасное).

[SilentFl]

нет-нет, я вас понял именно так как вы и объясняли, про защиту от xss и js-бяк =) с ckeditor'ом я знаком - у меня с ним были бодания по поводу сео-заморочек, пришлось писать конфиг с переопределением стандартных названий стилей (h1-6 и т.п.) на сео-нейтральные

[Dmitry Shnyrev]

Интересный косяк. Не слышал про это. Надо будет запомнить на будущее, так как тоже приходится на ходу заниматься seo оптимизацией.