我/* @escapeNotVerified */在Magento2的模板文件中看到了很多此注释。
它有特殊含义吗?
有什么用吗?
例子:
Answers:
静态测试使用此标记。任何潜在的不安全输出都必须标有@escapeNotVerified或,@noEscape以通过测试,后者表示已经检查了此特定用法并且是安全的。
在将来的发行版中,所有出现的@escapeNotVerified都将被验证,并可用@noEscape以下方法之一标记或转义:
\Magento\Framework\View\Element\AbstractBlock::escapeHtml\Magento\Framework\View\Element\AbstractBlock::escapeUrl\Magento\Framework\View\Element\AbstractBlock::escapeXssInUrl\Magento\Framework\View\Element\AbstractBlock::escapeQuote另请注意,某些输出被认为是安全的,不应使用以下注释进行标记:
getTitleHtml)也应该输出转义的HTML我在Magento2的devdocs中找到它
静态测试
为了提高针对XSS注入的安全性,将静态测试XssPhtmlTemplateTest.php添加到dev \ tests \ static \ testsuite \ Magento \ Test \ Php。
此静态测试在PHTML模板中查找所有回显调用,并确定是否正确进行了转义。
它涵盖以下情况:
/* @noEscape */在输出之前。输出不需要转义。测试是绿色的。
/* @escapeNotVerified */在输出之前。未检查输出转义,应进行验证。测试是绿色的。