我有一个代码博客,其中我有一个用于提交的用户输入表单。这种形式的任何内容都会出现在其中一个页面上。现在这是一个编码博客,所以我不想从输入中删除任何HTML标记或javascript代码,但我不希望它在任何时候执行。使任何输入无害的最佳方法是什么?是按<替换<而>替换>了吗?
(对于info,服务器将是GAE,输入将在python变量中传递(但从未计算),并存储在TextProperty中)
答案 0 :(得分:1)
是的,替换&lt;和&gt;应该够了
答案 1 :(得分:0)
最好的办法是简单地将后端的值转义为安全输入到存储引擎中,然后使用HTML实体输出它们,以便它们显示为代码。