从web2py控制器,我返回的内容如下:
提出HTTP(404,"抱歉,找不到{}" .format(request.args [0]))
但这有危险吗?如果有人用恶意args字符串调用该页面会怎么样?他们可以将html注入我的返回页面并在我的服务器上构建一个包含其html内容的页面吗?如果他们将大量数据注入到args [0]中会怎么样?它会帮我的服务器吗?
答案 0 :(得分:1)
为了安全起见,请执行:
raise HTTP(404, xmlescape("Sorry, could not find {}".format(request.args[0])))
xmlescape()将转义文本,因此浏览器不会显示HTML / JS。