¿Debo escapar de los números en django para prevenir ataques XSS? Los números se almacenan en db y de tipo "decimal, float, ...". ¿Debo escapar de estos valores o es inútil prevenir los ataques XSS?
No estoy seguro de cómo podría hacer XSS basándose únicamente en valores numéricos. Sin embargo, un buen enfoque es escapar siempre de las variables de entrada y verificarlas por el tipo. Por ejemplo, si se requiere que un usuario ingrese un número, también puede insertar una cadena que podría causar una excepción en su programa. Esto es algo que hay que tener en cuenta. Tenga en cuenta que la validación del lado del cliente es inútil (por lo tanto, verificar con JavaScript o una lista desplegable con solo números no lo ayudará a realizar la validación de entrada segura).
Entonces en Python puedes hacer:
try:
float(variable)
"do database logic"
except:
print "not valid."
Lea otras preguntas en las etiquetas xss