我一直在考虑将 Google App Engine 用于一些业余项目。虽然他们不会处理任何敏感数据,但出于多种原因,我仍然想让他们相对安全,例如了解安全、法律等。
使用 Google App Engine 时需要解决哪些安全问题?
它们是否与其他应用程序(例如以其他语言编写或以其他方式托管的应用程序)所面临的问题相同?
编辑:我做了一些搜索,看起来我需要清理 XSS and Injection. 的输入还有哪些需要考虑的事项?
最佳答案
“清理”输入并不是避免查询注入(inject)和标记注入(inject)问题的方法。 在输出阶段使用正确的转义形式是......或者,更好的是,使用一个更高级别的工具来为你处理它。
因此,为了防止针对 GQL 的查询注入(inject),请使用 GqlQuery 的参数绑定(bind)接口(interface).为了防止针对 HTML 的标记注入(inject)(导致 XSS),请使用您正在使用的任何模板语言的 HTML 转义功能。例如,对于 Django 模板,|escape
... 或者更好的是,{% autoescape on %}
这样您就不会不小心错过一个。
关于python - 使用 Google App Engine 时需要解决哪些安全问题?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3871012/