jinja2-autoescape-false (S701)

源自 flake8-bandit linter。

作用

检查使用 autoescape=False 的 jinja2 模板。

为什么这不好？

使用 autoescape=False 的 jinja2 模板容易受到跨站脚本 (XSS) 攻击，攻击者可以执行任意 JavaScript 代码。

默认情况下，jinja2 将 autoescape 设置为 False，因此设置 autoescape=True 或使用 select_autoescape 函数来缓解 XSS 漏洞非常重要。

示例

import jinja2

jinja2.Environment(loader=jinja2.FileSystemLoader("."))

建议改为

import jinja2

jinja2.Environment(loader=jinja2.FileSystemLoader("."), autoescape=True)

参考

• Jinja 文档：API
• 常见弱点枚举：CWE-94