跳到内容

可疑的 xml.etree 导入 (S405)

源自 flake8-bandit linter。

此规则不稳定且处于预览状态。使用需要 --preview 标志。

作用

检查对 xml.etree.cElementTreexml.etree.ElementTree 模块的导入

为什么这不好?

已知使用这些模块的各种方法解析不受信任的 XML 数据容易受到 XML 攻击。请将易受攻击的导入替换为等效的 defusedxml 包,或者确保在解析 XML 数据之前调用 defusedxml.defuse_stdlib()

示例

import xml.etree.cElementTree