mako-templates (S702)
源自 flake8-bandit linter。
作用
检查 mako 模板的使用。
为什么这不好?
Mako 模板默认允许 HTML 和 JavaScript 渲染,并且本质上容易受到 XSS 攻击。 确保所有模板中的变量都通过 n、h 或 x 标志(取决于上下文)正确地进行清理。 例如,要 HTML 转义变量 data,请使用 ${ data |h }。
示例
建议改为
源自 flake8-bandit linter。
检查 mako 模板的使用。
Mako 模板默认允许 HTML 和 JavaScript 渲染,并且本质上容易受到 XSS 攻击。 确保所有模板中的变量都通过 n、h 或 x 标志(取决于上下文)正确地进行清理。 例如,要 HTML 转义变量 data,请使用 ${ data |h }。
建议改为