在the security chapter的 The Django Book ,它说我必须始终使用模板标记 {% escape %}
以保护我的站点免受跨站点脚本攻击。
真的有必要在每个模板字符串上都加上转义标签吗?有没有办法在应用程序级别指定它?
最佳答案
那个版本的 Django 书是在 1.0 出来之前写的,已经过时了。所有模板内容现在已经自动转义了一段时间。
关于django - 使用 "escape"标记作为 Django 中的良好安全模式真的是强制性的吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4942898/