全てのHTMLタグを許可している旨をmarkdownフィルタのドキュメントに追記

kawazrepos · Jul 8, 2014 · 9814c41 · 9814c41
1 parent 9d43049
commit 9814c41
Show file tree

Hide file tree

Showing 2 changed files with 11 additions and 0 deletions.
diff --git a/src/kawaz/core/templatetags/templatetags/markdown.py b/src/kawaz/core/templatetags/templatetags/markdown.py
@@ -15,6 +15,13 @@ def markdown(value):
     kawaz.core.templatetagsでbuilt-in指定されています
     そのため、{% load markdown %}は不要です
 
+    Notice:
+        ブログパーツの使用などの利便性を持たせるために
+        全てのHTMLタグを許可しています。
+        セキュリティ上の懸念はありますが、このフィルタが適応されるのは
+        Children権限以上のユーザーが作成したコンテンツのみであり
+        本ポータルの性質から考えて悪用の可能性は少ないという判断です。
+
     Extras:
         footnotes
             https://github.com/trentm/python-markdown2/wiki/footnotes

diff --git a/src/kawaz/core/templatetags/tests/test_markdown.py b/src/kawaz/core/templatetags/tests/test_markdown.py
@@ -47,6 +47,10 @@ def test_markdown_with_code_friendly(self):
     def test_markdown_with_html(self):
         '''
         markdown内にHTMLも記述できる
+
+        Notice:
+            全てのHTMLを許可している理由は
+            markdownフィルタのdocstringを参照のこと
         '''
         before = ("# h1\n"
                   "<div>HTMLタグも効く</div>\n"