このコメント/* @escapeNotVerified */は、Magento2のテンプレートファイルで頻繁に見られます。
特別な意味がありますか?
これに用途はありますか?
例:
回答:
このタグは静的テストで使用されます。安全でない可能性のある出力は、いずれか@escapeNotVerifiedまたは@noEscapeテストに合格するためにマークする必要があります。後者は、この特定の使用法がチェックされ、安全であることを意味します。
将来のリリースでは、すべての出現@escapeNotVerifiedが検証され、次のいずれかの方法でマーク@noEscapeまたはエスケープされます。
\Magento\Framework\View\Element\AbstractBlock::escapeHtml\Magento\Framework\View\Element\AbstractBlock::escapeUrl\Magento\Framework\View\Element\AbstractBlock::escapeXssInUrl\Magento\Framework\View\Element\AbstractBlock::escapeQuoteまた、一部の出力は安全であると見なされており、そのような注釈でマークしないでください。
getTitleHtml)は、エスケープされたHTMLを出力することも想定されていますMagento2のdevdocsにあります
静的試験
XSSインジェクションに対するセキュリティを改善するために、静的テストXssPhtmlTemplateTest.phpがdev \ tests \ static \ testsuite \ Magento \ Test \ Phpに追加されます。
この静的テストは、PHTMLテンプレート内のすべてのエコーコールを検出し、適切にエスケープされているかどうかを判断します。
次の場合を対象としています。
/* @noEscape */出力前。出力にはエスケープが必要ありません。テストは緑色です。
/* @escapeNotVerified */出力前。出力のエスケープはチェックされないため、確認する必要があります。テストは緑色です。