Python-Markdown incluye características como el escape de HTML sin formato que obviamente están destinadas a hacer que sea seguro en entradas no confiables, y en términos generales, Markdown se usa comúnmente para representar la entrada del usuario, como aquí en SO.¿Es python-markdown seguro en una entrada que no es de confianza?
¿Pero esta implementación es realmente confiable? ¿Alguien ha estudiado esto para decidir si es seguro ejecutar una entrada arbitraria?
Veo que hay eg Markdown in Django XSS safe y Secure Python Markdown Library pero es el modo "seguro" realmente seguro?
¿Tiene alguna razón para creer que no lo es? El modo seguro en Django debería funcionar perfectamente si lo proporciona correctamente, ya que es un marco bastante maduro y mucha gente lo usa. Si hubiera algún riesgo obvio de seguridad, las personas ya lo habrían encontrado. – Codahk
es seguro. pero si es "realmente seguro" depende de su definición de "realmente seguro" –