标签: django security django-sessions
有时我希望从请求中使用多个变量,有时我不使用任何变量。每个模板都有可用的请求变量会产生什么安全风险?
答案 0 :(得分:2)
如果让不受信任的人创建模板,那将是一种风险。通常模板不会改变。如果你不相信某人正在创建模板,那么你就会遇到更大的问题(他们会更容易在python代码中偷偷摸摸地做一些事情)。
如果模板是动态生成的,并且您不小心为用户提供了向该模板添加信息的方法,则存在安全风险。但是,我认为这不是你提出的建议。