python - 为什么“千万不要对未知的变量使用safe过滤器”？

问题描述

问 题

Jinja2文档里说：

safe(value)
Mark the value as safe which means that in an environment with automatic escaping enabled this variable will not be escaped.

那么就是说未知变量，如果使用了safe过滤器，然后就不会转义，就有安全隐患。请问会造成什么样的隐患呢？

解决方案

没有接触过这门语言，不过像很多类似的例子可供参考，如果不对输入过滤，又恰好满足某些条件，是很有可能由于恶意输入导致程序崩溃，甚至用户信息流失的。
最简单的例子是输出HTML，如果对于某些特殊符号不做转移，很容易就会被恶意脚本攻击了。

我猜想这门语言应该对于特定条件下的输入有自动的过滤（an environment with automatic escaping enabled），如果你标记为safe将会将这些过滤器移除掉，降低安全性，所以如果是对外的API，它们的输入的话，没有充足的理由，不应该标记为safe。

这篇关于python - 为什么“千万不要对未知的变量使用safe过滤器”？的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！