python - Django 框架是否容易受到本地文件包含（LFI）和远程文件包含（RFI）的影响？

Question

就像在 php 中一样，include()方法和allow_url_include可能容易受到 LFI 和 RFI 的攻击。

django 的包含是否容易受到 lfi 和 RFI 的影响？

Answer 1

除非你弄乱了默认的模板加载器。Django 不允许您使用include位于应用程序模板文件夹之外的文件，并尽最大努力防止您使用内置操作接触外部文件。

作为一般经验法则，将您的应用程序代码与用户上传文件的路径完全隔离并清理和减少用户提供的输入与潜在危险函数的交互并没有什么坏处。