Здравствуйте, у меня есть что-то вроде этого для flask приложения:
@app.route('/test')
def test():
user={'name':"{{session.username}}",'secret':"KEY{USE_ESCAPE_STRING!}"}
if request.args.get('name'):
user['name'] = request.args.get('name')
template = '''<div class="jumbotron text-center"> <h2>Hello %s!</h2> <h3>You should not be here...</h3> </div> ''' % user['name']
return render_template_string(template, user=user)
Используя эту реализацию, я могу запускать такие команды: /test?name={{url_for.__globals__.os.popen(%27ls%27).read()}}
Мой вопрос: я могу сделать любой фильтр для исключения команд типа rm/rmdir?