python - 从 python bandit 安全问题报告中忽略/跳过一些问题的方法是什么?
问题描述
我有一堆django_mark_safe错误
>> Issue: [B703:django_mark_safe] Potential XSS on mark_safe function.
Severity: Medium Confidence: High
Location: ...
More Info: https://bandit.readthedocs.io/en/latest/plugins/b703_django_mark_safe.html
54 return mark_safe(f'<a href="{url}" target="_blank">{title}</a>')
>> Issue: [B308:blacklist] Use of mark_safe() may expose cross-site scripting vulnerabilities and should be reviewed.
Severity: Medium Confidence: High
Location: ...
More Info: https://bandit.readthedocs.io/en/latest/blacklists/blacklist_calls.html#b308-mark-safe
54 return mark_safe(f'<a href="{url}" target="_blank">{title}</a>')
我很好奇是否有办法跳过或忽略这些行?我知道使用mark_safe可能很危险,但如果我想冒险怎么办?例如,此方法是在 Django admin 中显示自定义链接的唯一方法,所以我不知道任何其他选项如何做到这一点mark_safe
解决方案
我在这里得到了答案:
两种方式:
- 您可以在命令行中使用 --skip 参数跳过 B703 和 B308。
- 或者,您可以在要跳过的行上添加注释
# nosec。
推荐阅读
- spring-cloud-stream - Kinesis Binder 默认读取容量和写入容量在 dynamo db 表上
- java - 我应该更喜欢 `ifPresent` 方法而不是 `isPresent` 方法吗?
- java - Android工作室在java文件中找不到按钮ID
- spinnaker - 在 Staging 部署后与 Prod 帐户共享 Spinnaker 中的烘焙 ami
- struct - 在 rust 中添加不同类型的结构是什么意思?
- pandas - OutOfBoundsDatetime:无法使用单位“s”转换输入
- java - 如何将时间戳格式从 java 输入到也具有格式时间戳的 oracle 数据库?
- flutter - 如何在颤动中固定状态栏和底部栏
- postgresql - 使用 Postgres 将 2 个表中的数据作为数组输出
- python - 如何使用 Django 和 Chart.js 创建动态图表?