Wiele razy widzę ten komentarz /* @escapeNotVerified */w plikach szablonów Magento2.
Czy to ma szczególne znaczenie?
Czy ma to jakieś zastosowanie?
Przykłady:
65
Wiele razy widzę ten komentarz /* @escapeNotVerified */w plikach szablonów Magento2.
Czy to ma szczególne znaczenie?
Czy ma to jakieś zastosowanie?
Przykłady:
Odpowiedzi:
Ten znacznik jest używany w testach statycznych. Wszelkie wyjście potencjalnie niebezpieczne muszą być oznakowane albo
@escapeNotVerifiedalbo@noEscapeprzejść testy, to ostatnie oznacza, że ten szczególny zwyczaj został sprawdzony i jest bezpieczny.W przyszłych wersjach wszystkie wystąpienia
@escapeNotVerifiedbędą weryfikowane i oznaczone albo za@noEscapepomocą jednej z tych metod:\Magento\Framework\View\Element\AbstractBlock::escapeHtml\Magento\Framework\View\Element\AbstractBlock::escapeUrl\Magento\Framework\View\Element\AbstractBlock::escapeXssInUrl\Magento\Framework\View\Element\AbstractBlock::escapeQuoteNależy również pamiętać, że niektóre dane wyjściowe są uważane za bezpieczne i nie powinny być oznaczone takimi adnotacjami:
getTitleHtml, również powinny wyświetlać kod ucieczki HTMLźródło
Znajduję to w devdocs Magento2
Test statyczny
Aby poprawić bezpieczeństwo przed wstrzyknięciami XSS,
XssPhtmlTemplateTest.phpdo dev \ test \ static \ testsuite \ Magento \ Test \ Php dodaje się test statyczny.Ten test statyczny odnajduje wszystkie wywołania echa w szablonach PHTML i określa, czy jest poprawnie uciekany czy nie.
Obejmuje następujące przypadki:
/* @noEscape */przed wyjściem. Wyjście nie wymaga ucieczki. Test jest zielony./* @escapeNotVerified */przed wyjściem. Wyjście wyjściowe nie jest sprawdzane i powinno zostać zweryfikowane. Test jest zielony.Przeczytaj Dokumenty Magento w wersji 2.0 lub 2.1
źródło