9.4. 跨站点脚本(XSS)

OpenStack 控制面板接受大多数字段中设置的整个 Unicode 字符。恶意的参与者可能会尝试使用这个可扩展性来测试跨站点脚本(XSS)漏洞。OpenStack Dashboard 服务(horizon)具有针对 XSS vulnerabilites 强化的工具。确保在自定义仪表板中正确使用这些工具非常重要。当您对自定义仪表板执行审计时,请注意以下几点:

  • mark_safe 功能。
  • is_safe - 与自定义模板标签一起使用。
  • safe 模板标签。
  • 任何自动转义都会关闭,以及可能会评估不正确的数据的 JavaScript。