当返回信息时,除非你确定想让接收用户查看它们,否则不要包含任何“注释”。对于生成文件(例如 HTML)的 Web 应用程序来说,这是一个特殊的问题。通常,Web 应用程序程序员希望注释他们的工作(这很好),但是他们不是简单地将注释留在他们的代码中,而是将注释包含在返回给用户的生成文件(通常是 HTML 或 XML)中。问题在于,这些注释有时会以帮助攻击者的方式提供对系统如何工作的洞察。