Web2py:显示 request.args[0] 有危险吗

Web2py: is it dangerous to display request.args[0]

从 web2py 控制器,我return正在执行类似的操作:

提高 HTTP(404,"Sorry, could not find {}".format(request.args[0]))

但这很危险吗?如果有人使用恶意 args 字符串调用页面怎么办?他们能否将 html 注入我的 return 页面并在我的服务器上构建一个包含他们的 html 内容的页面?如果他们将大量数据注入 args[0] 怎么办 - 它会拒绝我的服务器吗?

为了安全起见,就这样做:

raise HTTP(404, xmlescape("Sorry, could not find {}".format(request.args[0])))

xmlescape() 将转义文本,因此浏览器不会显示 HTML/JS。