Was alle schon gesagt haben, ist richtig; Sie müssen alle diese Daten verschlüsseln, bevor Sie sie an die Benutzer senden.
Ich wollte nur hinzufügen, aber sicher sein, dass Sie diese Codierung auf dem Server, mit einer integrierten (und daher gut getesteten) Methode von der Web-Framework, die Sie verwenden, tun.
Do not versuchen, dies in JavaScript auf dem Client zu tun; Es gibt weitere bösartige Codes, die Benutzer eingeben könnten, die das JavaScript selbst brechen würden.
Und nicht versucht Codierung Mechanismus ‚Ihren eigene Rolle‘, noch versuchen, einen schwarzen Liste Ansatz zu verwenden, in dem Sie versuchen, nur bestimmte „schlechte“ Dinge zu finden, jemand geben könnte, und sie ersetzen. Du wirst nie erraten, was all die "schlechten Dinge" sind.
Sie erwähnen nicht, Ihren Web-Framework, aber die meisten haben eine integrierte Funktionalität, die HTML-Codiert eine ganze Zeichenfolge so, dass die Zeichenfolge buchstäblich im Browser angezeigt werden, egal was Inhalt drin ist.
Ich schreibe Python CGI mit Flup. Hast du irgendwelche Vorschläge? –