Poiché l'iniezione HTML riguarda solo il client ma la funzione python è lato server, non è possibile raggiungerla direttamente. Ma la tua iniezione HTML potrebbe cambiare le richieste inviate da un utente autorizzato e in questo modo potresti causare cambiamenti nell'esecuzione dell'applicazione lato server che alla fine porta alla chiamata della funzione python nascosta. Iniezioni utili sono ad esempio modifiche di moduli HTML esistenti, aggiunta di nuovi moduli, collegamenti o immagini che alla fine portano a richieste al server come utente autenticato (ad esempio, includono il cookie).
Esempio:
<form action=/do_something>
<form action=/call_hidden_function> <!-- injected this line -->
...
<input type=hidden name=crsf_protection_token value=...>
<input type=submit value="Submit form">
</form>