<meta http-equiv="content-type" content="text/html; charset=utf-8"><a href="http://bugs.python.org/issue9061">http://bugs.python.org/issue9061</a><br><br><div class="gmail_quote">On Tue, Jun 22, 2010 at 5:29 PM, Bill Janssen <span dir="ltr">&lt;<a href="mailto:janssen@parc.com">janssen@parc.com</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div class="im">Craig Younkins &lt;<a href="mailto:cyounkins@gmail.com">cyounkins@gmail.com</a>&gt; wrote:<br>
<br>
&gt; cgi.escape never escapes single quote characters, which can easily lead to a<br>
&gt; Cross-Site Scripting (XSS) vulnerability. This seems to be known by many,<br>
&gt; but a quick search reveals many are using cgi.escape for HTML attribute<br>
&gt; escaping.<br>
<br>
</div>Did you file a bug report?<br>
<font color="#888888"><br>
Bill<br>
</font></blockquote></div><br>