【发布时间】:2013-02-11 00:27:21
【问题描述】:
有时我希望使用请求中的多个变量,而其他时候我不使用任何变量。让每个模板都可以使用请求变量可能会带来哪些安全风险(如果有的话)?
【问题讨论】:
-
您使用请求在模板中显示什么值?
标签: django security django-sessions
【发布时间】:2013-02-11 00:27:21
【问题描述】:
只有让不受信任的人创建模板才会有风险。通常模板不会改变。如果你不信任创建模板的人,你就会遇到更大的问题(他们更容易在 python 代码中偷偷摸摸地做一些事情)。
如果模板是动态生成的,而您不小心为用户提供了一种向该模板添加信息的方法,则会存在安全风险。但是,我认为这不是您的提议。
【讨论】: