目前我正在使用 python 的 django web 框架开发网站。
我非常关注 XSS 和网站的安全性。
我已经阅读了一些与 XSS 相关的引用资料并使用转义、编码等来防止它们。
所以我的问题是 Django 是否会自动转义每个输入数据并自动处理 XSS 攻击,或者我们是否需要明确地实现代码来防止 XSS 攻击?
如何防止Django中的各种XSS攻击?
最佳答案
我认为默认情况下 Django 中启用了自动转义:
https://code.djangoproject.com/wiki/AutoEscaping
除非您使用自定义模板标签,否则您必须将标签明确标记为“安全”(或使用“autoescape off”)才能不自动转义它们:https://docs.djangoproject.com/en/2.2/ref/templates/builtins/#std:templatefilter-safe
关于python - django 是否自动处理自动转义和上下文感知?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/58299809/