我正在看他的Flask app
@app.route('/', methods=['GET', 'POST'])
def mainpage():
name = default_name
if request.method == 'POST':
name = html.escape(request.form['name'], quote=True)
和unittest类
class TestCase(unittest.TestCase):
def test_html_escaping(self):
page = self.app.post("/", data=dict(name='"><b>TEST</b><!--'))
assert '<b>' not in str(page.data)
我不明白为什么我们在这里需要html.escape。我看过Python文档,它说它的目的
Convert the characters &, < and > in string s to HTML-safe sequences
哪些HTML序列是安全的,哪些不安全?