跳到内容

可疑的 xml.dom.expatbuilder 导入 (S407)

源自 flake8-bandit linter。

此规则不稳定且处于预览状态。使用需要 --preview 标志。

作用

检查对 xml.dom.expatbuilder 模块的导入。

为什么这不好?

使用这些模块中的方法来解析不受信任的 XML 数据,已知容易受到 XML 攻击。请将易受攻击的导入替换为等效的 defusedxml 包,或者确保在解析 XML 数据之前调用 defusedxml.defuse_stdlib()

示例

import xml.dom.expatbuilder