消除任意用户输入

Question

我正在开发一个接受STL文件的Web服务，对它们进行一些简单的处理（计算方面，计算总体积等）并向用户返回一些统计信息。没有计划数据库或持久性（尽管可能在将来的某个时候添加。）用户可以上传文件或指向URL。

为了清理使用输入并保护Tornado服务器，我应该考虑什么？

• 我正在使用自动转义html的模板系统。
• 我还可以使用逻辑来检查输入“看起来像”有效的STL格式，因为我解析它：二进制STL只是浮点数;我也知道ascii STL的格式是什么样的。
• 我做了一些初步研究，包括：
  • When is it Best to Sanitize User Input?
  • What is the best way to sanitize user inputs?
  • 许多其他人。

我错过了什么明显的东西吗？

Answer 1

如果没有您提供代码，我们所能做的就是推测：

1. 在表示之间转换时考虑边界条件（二进制 - ＆gt; float，ascii - ＆gt;二进制）
2. 考虑一下将在网络浏览器中呈现的后续统计数据？是否可以打印一些UTF-8代码，或者是否可以插入javascript？