/* @escapeNotVerified */Magento2 şablon dosyalarında bu yorumun bir çok oluşumunu görüyorum.
Özel bir anlamı var mı?
Bunun için bir kullanım var mı?
Örnekler:
Yanıtlar:
Bu etiket statik testler tarafından kullanılır. Potansiyel olarak güvenli olmayan herhangi bir çıktı ya testlerden geçmek ya @escapeNotVerifiedda @noEscapetestleri geçmek için işaretlenmelidir , ikincisi bu özel kullanımın kontrol edilmiş ve güvenli olduğu anlamına gelir.
Gelecekte, tüm sürümleri @escapeNotVerifieddoğrulanacak ve ya @noEscapeşu yöntemlerden biriyle işaretlenmiş ya da kaçmış olacaksınız :
\Magento\Framework\View\Element\AbstractBlock::escapeHtml\Magento\Framework\View\Element\AbstractBlock::escapeUrl\Magento\Framework\View\Element\AbstractBlock::escapeXssInUrl\Magento\Framework\View\Element\AbstractBlock::escapeQuoteAyrıca, bazı çıktıların güvenli olduğunu ve bu açıklamalarla işaretlenmemesi gerektiğini unutmayın:
getTitleHtmlda kaçan HTML çıktısı alması bekleniyor.Magento2'nin devdocs'unda buldum
Statik Test
XSS enjeksiyonlarına karşı güvenliği arttırmak XssPhtmlTemplateTest.phpiçin, dev \ testing \ static \ testsuite \ Magento \ Test \ Php'ye statik bir test eklenir.
Bu statik test, tüm eko çağrılarını PHTML şablonlarında bulur ve düzgün şekilde çıkıp çıkmadığını belirler.
Aşağıdaki durumları kapsar:
/* @noEscape */çıktıdan önce. Çıktı kaçmayı gerektirmez. Test yeşildir.
/* @escapeNotVerified */çıktıdan önce. Çıkış çıkışı kaçış kontrol edilmedi ve doğrulanması gerekiyor. Test yeşildir.