django 是否自动处理自动转义和上下文感知?
Does django automatically handle auto-escaping & context aware?
现在我正在使用 python 的 django web 框架开发网站。
我非常关注 XSS 和网站的安全性。
我已经阅读了一些与 XSS 相关的参考资料并防止它们使用转义、编码等。
所以我的问题是 Django 是否会自动转义每个输入数据并自动或明确地处理 XSS 攻击,我们是否需要实施代码来防止 XSS 攻击?
如何防止Django中的各种XSS攻击?
我认为 Django 默认启用了自动转义:
https://code.djangoproject.com/wiki/AutoEscaping
除非您使用自定义模板标签,否则您必须将标签显式标记为 "safe"(或使用 "autoescape off")才能不自动转义它们:https://docs.djangoproject.com/en/2.2/ref/templates/builtins/#std:templatefilter-safe
在某些时候 django 处理了一些攻击,但处理更多的 django 文档有助于 https://docs.djangoproject.com/en/3.0/topics/security/
现在我正在使用 python 的 django web 框架开发网站。
我非常关注 XSS 和网站的安全性。
我已经阅读了一些与 XSS 相关的参考资料并防止它们使用转义、编码等。
所以我的问题是 Django 是否会自动转义每个输入数据并自动或明确地处理 XSS 攻击,我们是否需要实施代码来防止 XSS 攻击?
如何防止Django中的各种XSS攻击?
我认为 Django 默认启用了自动转义:
https://code.djangoproject.com/wiki/AutoEscaping
除非您使用自定义模板标签,否则您必须将标签显式标记为 "safe"(或使用 "autoescape off")才能不自动转义它们:https://docs.djangoproject.com/en/2.2/ref/templates/builtins/#std:templatefilter-safe
在某些时候 django 处理了一些攻击,但处理更多的 django 文档有助于 https://docs.djangoproject.com/en/3.0/topics/security/