JP1417C¶

Использование mako без самостоятельной проверки ввода¶

Использование фреймворка mako без самостоятельной проверки ввода HTML шаблонов и открывает уязвимость к XSS атакам. Требуется убедиться, что выходные шаблоны надлежащим образом экранированы с использованием флагов n, h или x (например, для переменной temp: ${ temp |h }).

Пример небезопасного использования¶

1
2
3

import mako

mako.template.Template("my_template")

Дополнительная информация¶

• https://cwe.mitre.org/data/definitions/80.html
• https://www.makotemplates.org/