Markdown no Django XSS safe
Estou usando o Markdown em um aplicativo para exibir uma biografia do usuário. Quero que o usuário possa formatar um pouco a biografia, por isso estou permitindo que eles usem o editor TinyMCE.
Então, exibindo-o no Django Template como este
{% load markup %}
<div id="biography">
{{ biography|markdown }}
</div>
O problema é que, se houver uma etiqueta na biografia, ela não será escapada como o django faz em qualquer outro lugar. Esta é a fonte de saída de um teste de biografia:
<p><strong>asdfsdafsadf</strong></p>
<p><strong>sd<em>fdfdsfsd</em></strong><em>sdfsdfsdfdsf</em>sdfsdfsdf</p>
<p><strong>sdafasdfasdf</strong></p>
<script>document.location='http://test.com'</script>
Como defino o Markdown para escapar desses scripts malicioso