/* @escapeNotVerified */Magento2의 템플릿 파일 에서이 주석이 많이 나타납니다.
특별한 의미가 있습니까?
이것에 대한 사용이 있습니까?
예 :
답변:
이 태그는 정적 테스트에서 사용됩니다. 잠재적으로 안전하지 않은 출력은 테스트 @escapeNotVerified중이거나 @noEscape테스트를 통과 하도록 표시되어야합니다 .
향후 릴리스에서는 모든 발생 @escapeNotVerified이 확인되고 @noEscape다음 방법 중 하나로 표시 되거나 이스케이프됩니다.
\Magento\Framework\View\Element\AbstractBlock::escapeHtml\Magento\Framework\View\Element\AbstractBlock::escapeUrl\Magento\Framework\View\Element\AbstractBlock::escapeXssInUrl\Magento\Framework\View\Element\AbstractBlock::escapeQuote또한 일부 출력은 안전하다고 간주되며 이러한 주석으로 표시되어서는 안됩니다.
getTitleHtml도 이스케이프 된 HTML을 출력해야합니다.Magento2의 devdocs에서 찾았습니다.
정적 테스트
XSS 주입에 대한 보안을 향상시키기 위해 정적 테스트 XssPhtmlTemplateTest.php가 dev \ tests \ static \ testsuite \ Magento \ Test \ Php에 추가됩니다.
이 정적 테스트는 PHTML 템플릿에서 모든 에코 호출을 찾아서 제대로 이스케이프되는지 확인합니다.
다음과 같은 경우에 적용됩니다.
/* @noEscape */출력하기 전에. 출력에는 이스케이프가 필요하지 않습니다. 테스트는 녹색입니다.
/* @escapeNotVerified */출력하기 전에. 출력 이스케이프는 확인되지 않으므로 확인해야합니다. 테스트는 녹색입니다.