Пусть, у нас есть yate-шаблон:
match / {
string = (
'<span>'
.somedata.somevalue
'</span>'
)
i18n('%key', string)
}
i18n
— для yate внешняя функция, которая возвращает scalar
. Любой scalar
в yate экранируется.
match / {
// это скаляр, он будет заэкранирован
'<div class="hello"></div>'
// такая строка (но это еще не scalar) будет выведена как html
html('<div class="hello"></div>')
// здесь i18n будет сначала заэкранирован, потому что это scalar
// и html не выведет правильную разметку!
html(i18n('%key', string))
// здесь deentityify отменяет экранирование,
// и html выводит правильную разметку
html(deentityify(i18n('%key', string)))
}
В шаблонах содержатся пользовательские данные, поэтому есть опасность XSS
. Назову я свой файл <script>alert(1);</script>
,
match / {
.resource.name
}
И yr.run
выполнит этот скрипт.
Пусть есть скомпилированный шаблон:
out += yr.externals("key_i18n_value", someValue)
После запуска локализации (d2-build-tools
) шаблон приобретает следующий вид:
out += yr.externals("key_i18n_value", yr.externals.entityify(someValue))
Если в качестве аргументов i18n
строки, то они не экранируются. (если nodeset
или переменная, то экранируются).
Точнее не аргументы, а то, что возвращает
i18n
, правильно?Там формируется строка, а
yate
уже экранирует, т.к. этоscalar
. Верно?