我想使我的网站免受如下Java脚本注入的影响:<script>alert("trololo");</script>。
我的第一个问题是从HTML或Python开始的地方?
第二,怎么做?
我的用于input(opinion)的python处理程序如下所示:
class SaveHandler(BaseHandler):
def post(self):
first_last_name = self.request.get("name")
email = self.request.get("email")
opinion = self.request.get("opinion")
save_opinion = Opinion(first_last_name=first_last_name, email=email, opinion=opinion)
save_opinion.put()
return self.render_template("saved.html")
我的HTML代码如下:
<form method="post" action="/saved">
<h4> Your First and Last Name: </h4>
<input name="name"> </input>
<h4>Your Email: </h4>
<input name="email"> </input>
<h4>Your Opinion Counts!: </h4>
<textarea name="opinion" placeholder="Leave us your opinion..."></textarea>
<br>
<br>
<button type="submit"> Submit your messsage! </button>
最佳答案
您想转义您的输入。这需要在服务器端发生,因为客户端在用户的控制之下并且可以被操纵。
首先,look into cgi.escape。这使您可以转义HTML的特殊字符。该字符串将不被执行,而是按输入方式显示在页面上。