JP1415C¶

Использование jinja2 с параметром autoescape=False¶

Использование фреймворка jinja2 без параметра autoescape=True отключает безопасный ввод HTML шаблонов и открывает уязвимость к XSS атакам. jinja2 рекомендуется использовать с параметром autoescape=True в явном виде.

Пример небезопасного использования¶

1
2
3
4
5

import jinja2

environment = jinja2.Environment(autoescape=False)
template = environment.from_string("Hello, {{ name }}!")
template.render(name="World")

Дополнительная информация¶

• https://cwe.mitre.org/data/definitions/94.html
• https://jinja.palletsprojects.com/en/2.11.x/api/#autoescaping