Cgi 脚本以 html/text 形式返回数据。这有多安全？

Question

使用 post 方法提交表单时返回数据是有意义的。 看起来好像只能返回html/text...... 我在客户端使用 gwt，如果返回纯文本/文本，它似乎无法正常工作。

问题：使用 html/text 返回所有类型的文本有多安全？ 某些数据是否可能会破坏 gwt 或 formpanel？ 另外，返回 json 格式的内容有多安全？

我想以这种方式返回二进制数据是不安全的。 我没试过。

Answer 1

这取决于您使用的协议。 GWT 可以使用 GWT RPC、SOAP、XMLRPC、JSON 或几乎任何内容。 我不明白为什么返回 text/html 内容类型不安全。

不要在 javascript 中对 JSON 使用 eval() ，除非它是您信任的服务器。 有可用的 javascript JSON 解析器，它们比 eval() 更安全、更快。 预计下一个 ECMAScript 标准将包含原生 JSON 解析器支持。

要发送二进制数据，最好对其进行 Base64 编码。

Answer 2

返回 text/html 类型并不安全，因为如果不知道发生了什么变化，它似乎会更改数据。

在客户端，它注意到
- 多个空间变成一个空间
-标签消失
-<> 改为< 和>