防御式编程:防止XSS攻击 如大家所了解的XSS攻击全称是‌跨站脚本攻击‌Cross-Site Scripting是一种普遍存在的‌Web 应用安全漏洞‌。攻击者利用网页开发漏洞将恶意脚本代码注入到正常用户访问的页面中当用户浏览该页面时恶意代码在浏览器端执行从而达到攻击目的。‌对用户输入进行编码和过滤是防止 XSS 攻击的关键。以下是改进后的代码示例from flask import Flask, request, escape from markupsafe import Markup app Flask(__name__) app.route(/comment, methods[POST]) def comment(): user_comment escape(request.form[comment]) return Markup(fh1User Comment:/h1p{user_comment}/p) if __name__ __main__: app.run(debugTrue)在这段代码中escape 函数用于对用户输入的评论内容进行转义将特殊字符转换为 HTML 实体。这样可以防止用户输入的恶意 HTML 或 JavaScript 代码被浏览器执行。Markup 类用于标记字符串为安全的 HTML 内容告诉模板引擎可以安全地渲染这段内容。