Devo sfuggire ai numeri in django per prevenire gli attacchi XSS? I numeri sono memorizzati in db e di tipo "decimale, float, ...". Devo sfuggire questi valori o è inutile prevenire gli attacchi XSS?
Non sono sicuro di come potresti eseguire XSS basandosi esclusivamente su valori numerici. Tuttavia, un buon approccio è quello di sfuggire sempre alle variabili di input e controllarle per tipo. Ad esempio, se un utente è tenuto a inserire un numero, potrebbe anche inserire una stringa che potrebbe causare un'eccezione nel programma. Questo è qualcosa che devi tenere in considerazione. Nota che la validazione lato client è inutile (quindi il controllo con JavaScript o un elenco a discesa con solo numeri non ti aiuterà a eseguire la convalida dell'input sicuro).
Quindi in Python puoi fare:
try:
float(variable)
"do database logic"
except:
print "not valid."
Leggi altre domande sui tag xss