Magento 2 @escapeNot ยืนยันแล้ว

ฉันเห็นความคิดเห็นนี้เกิดขึ้นมากมาย/* @escapeNotVerified */ในไฟล์เทมเพลตสำหรับ Magento2
มันมีความหมายพิเศษหรือไม่?
มีประโยชน์สำหรับสิ่งนี้หรือไม่?

ตัวอย่าง:

• https://github.com/magento/magento2/blob/2.1/app/code/Magento/Catalog/view/frontend/templates/product/list.phtml#L23
• https://github.com/magento/magento2/blob/2.1/app/code/Magento/Catalog/view/frontend/templates/product/image_with_borders.phtml#L10

• https://github.com/magento/magento2/blob/2.1/app/code/Magento/Catalog/view/frontend/templates/product/gallery.phtml#L12

• ฉันสามารถไปที่หน้าไม่กี่ที่นี่

แท็กนี้ใช้โดยการทดสอบแบบคงที่ ผลลัพธ์ที่อาจไม่ปลอดภัยใด ๆ จะต้องทำเครื่องหมายด้วย@escapeNotVerifiedหรือ@noEscapeผ่านการทดสอบหมายความว่าการใช้งานเฉพาะอย่างนี้ได้รับการตรวจสอบแล้วและปลอดภัย

ในอนาคตการเผยแพร่สิ่งที่เกิดขึ้นทั้งหมด@escapeNotVerifiedจะได้รับการตรวจสอบและทำเครื่องหมายด้วย@noEscapeหรือหนีด้วยวิธีใดวิธีหนึ่งต่อไปนี้:

• \Magento\Framework\View\Element\AbstractBlock::escapeHtml
• \Magento\Framework\View\Element\AbstractBlock::escapeUrl
• \Magento\Framework\View\Element\AbstractBlock::escapeXssInUrl
• \Magento\Framework\View\Element\AbstractBlock::escapeQuote

โปรดทราบว่าเอาต์พุตบางอย่างถือว่าปลอดภัยและไม่ควรทำเครื่องหมายด้วยคำอธิบายประกอบดังกล่าว:

• อยู่ในเครื่องหมายคำพูดเดี่ยว
• อยู่ในเครื่องหมายคำพูดคู่ แต่ไม่มีตัวแปร
• ประเภทการหล่อเพื่อบูล int
• การเรียกเมธอดที่มี 'html' ในชื่อเช่นgetTitleHtmlนั้นคาดว่าจะมีการส่งออก HTML ที่หลบหนี

ฉันพบมันใน devdocs ของ Magento2

การทดสอบแบบคงที่

เพื่อปรับปรุงความปลอดภัยจากการฉีด XSS การทดสอบแบบคงที่XssPhtmlTemplateTest.phpจะถูกเพิ่มไปยัง dev \ tests \ static \ testsuite \ Magento \ Test \ Php

การทดสอบแบบคงที่นี้จะค้นหาเสียงสะท้อนทั้งหมดในเทมเพลต PHTML และกำหนดว่าจะหลบหนีได้อย่างเหมาะสมหรือไม่

ครอบคลุมกรณีดังต่อไปนี้:

• /* @noEscape */ก่อนที่จะส่งออก เอาท์พุทไม่จำเป็นต้องหลบหนี ทดสอบเป็นสีเขียว

• /* @escapeNotVerified */ก่อนที่จะส่งออก ไม่ได้ตรวจสอบการหลบหนีเอาต์พุตและควรตรวจสอบความถูกต้อง ทดสอบเป็นสีเขียว

อ่าน Magento Docsที่ 2.0 หรือ 2.1