Jinja: 기본적으로 비활성화된 자동 이스케이프는 위험한 기본값입니다.

Jinja는 HTML 뿐만 아니라 범용 템플릿 엔진입니다. 나는 대부분의 사람들이 HTML 템플릿에 대해 기본적으로 자동 이스케이프를 활성화하는 Flask에서 Jinja를 사용한다고 생각합니다. 템플릿 엔진을 자체 프레임워크에 통합하는 경우 안전하게 사용하는 방법에 대한 설명서를 읽어야 합니다.

즉, HTML을 생성할 때 자동 이스케이프를 사용해야 한다는 점을 문서에서 분명히 밝히는 것이 좋은 제안이라고 생각합니다.

대부분의 주요 프레임워크가 이 작업을 수행한다고 가정하지만(눈이 더 많이, 버그가 더 적은 등) Jinja를 수동으로 통합하여 이러한 실수를 하는 소규모 프로젝트도 많이 있습니다.

그리고 솔직히 말해서, Jinja의 문서는 그 주제에 대해 정말 열악합니다. 다음은 Jinja의 문서를 열 때 가장 먼저 표시되는 내용입니다.

Jinja2는 Django의 템플릿을 모델로 한 Python용 현대적이고 디자이너 친화적인 템플릿 언어입니다. 선택적 샌드박스 템플릿 실행 환경으로 빠르고 널리 사용되며 안전합니다.

"Django의 템플릿을 모델로 함" 및 "secure"는 자동 이스케이프와 같은 Django의 템플릿 보안 기능이 있다고 생각할 수 있습니다.

그런 다음 HTML인 예제입니다. 그리고 그 직후 기능 목록에서:

XSS 방지를 위한 강력한 자동 HTML 이스케이프 시스템

선택 사항이며 기본적으로 활성화되어 있지 않다는 것을 언급하지 않았습니다.

"기본 API 사용" 문서 페이지에는 자동 이스케이프가 활성화된 것으로 표시되지 않지만 HTML도 표시되지 않으므로 괜찮은 것 같습니다. 그러나 API "기본"페이지 로 이동하면 :

from jinja2 import Environment, PackageLoader
env = Environment(loader=PackageLoader('yourapplication', 'templates'))
template = env.get_template('mytemplate.html')
print template.render(the='variables', go='here')

첫 번째 예는 사소한 XSS에 취약합니다. 사람들은 혼란스러워하는 것이 옳습니다.

풀 리퀘스트에 적합한 후보인 것 같습니다. :)

모든 사람의 코드를 깨뜨리지 않고는 이 기능을 끌 수 없습니다. 그러나 그에 따라 문서를 업데이트하게 되어 기쁩니다. 나는 이것을 wontfix로 닫을 것이지만 문서 업데이트를 위해 자유롭게 PR을 여십시오.