小编Eth*_*han的帖子

是否可以使用来自uWSGI和Nginx背后的python/Flask应用程序的服务器发送事件？

我发现在python/Flask中实现SSE的软件包,但他们似乎都是使用gevent和greenlets这样做的.

https://github.com/DazWorrall/flask-sse

谢谢!

我正在尝试确定在MongoDB中存储和显示用户输入的最佳实践.显然,在SQL数据库中,需要对所有用户输入进行编码以防止注入攻击.但是,我的理解是,对于MongoDB,我们需要更加担心XSS攻击,用户输入是否需要在存储在mongo中之前在服务器上进行编码？或者,使用像把手这样的模板库,只需在字符串显示在客户端之前对其进行简单编码就足够了吗？

这是我正在谈论的流程:

1. 在客户端,用户将其名称更新为"<script> alert('hi'); </ script>".
   • 这是否需要转义为"< script> alert(' hi');</ script>" 在发送到服务器之前？
2. 更新后的字符串通过ajax请求传递到JSON文档中的服务器.
3. 服务器将字符串存储在"user.name"下的mongodb中.
   • 为了安全起见,服务器是否需要以相同的方式转义字符串？是否必须首先在完全转义之前解除字符串的转义,以免在'&'上加倍？
4. 稍后,客户端请求用户信息,并在JSON ajax响应中发送名称字符串.
5. 在显示之前,用户名使用_.escape(name)等编码.

这个流程是否会显示正确的信息并且不受XSS攻击的影响？关于汉字这样的unicode字符怎么样？

这也可以改变文本搜索的完成方式,因为如果所有用户文本都被编码,则在开始搜索之前可能需要对搜索项进行编码.

非常感谢!