像php中一样,include()方法和allow_url_include可能容易受到LFI和RFI的攻击。<br/>
django的include容易受到lfi和RFI的攻击吗?
答案 0 :(得分:0)
除非您不使用默认模板加载器,否则不要这么做。 Django不允许您include个位于应用程序模板文件夹之外的文件,并且会尽最大努力防止您使用内置操作触摸外部文件。
根据一般经验,将应用程序代码与用户可以上传文件的路径完全隔离,并清理和减少用户提供的输入与潜在危险功能的交互,这没有什么害处。