概要
generate_index.py 内の icon 変数が HTML エスケープなしで直接テンプレートに埋め込まれています。
詳細
現在の実装では、icon 変数(絵文字)が html.escape() を通さずに HTML テンプレートに挿入されています。現状では全て絵文字のため実害はありませんが、コーディングガイドラインでは「HTML 出力に埋め込む文字列は html.escape() を使用すること」が義務付けられています。
影響範囲
- 行 916, 929 付近
tabs_html_list.append() 呼び出し内の <span class="tab-icon">{icon}</span>item_html 構築内の <span class="card-icon">{icon}</span>
参照
概要
generate_index.py内のicon変数が HTML エスケープなしで直接テンプレートに埋め込まれています。詳細
現在の実装では、
icon変数(絵文字)がhtml.escape()を通さずに HTML テンプレートに挿入されています。現状では全て絵文字のため実害はありませんが、コーディングガイドラインでは「HTML 出力に埋め込む文字列はhtml.escape()を使用すること」が義務付けられています。影響範囲
tabs_html_list.append()呼び出し内の<span class="tab-icon">{icon}</span>item_html構築内の<span class="card-icon">{icon}</span>参照