很多网站,如 Tumblr、Posterous 都允许用户上传自己的风格。个人风格可能包含 HTML、Javascript 和服务器代码。所以我的问题是
如何防止用户上传恶意服务器代码。
如何防止用户上传恶意客户端代码(Javascript)。
我相当了解如何通过限制要使用的函数集来解决 (1)。我更关心 (2),因为很难过滤坏代码。这些样式可能包含恶意代码,这些代码将用户 session 发送到某些外部来源,然后伪造他们的身份。我注意到上传的样式不在外部框架中,因此窃取用户 session 似乎是一个明显的问题。
有没有人对上述问题有更好的了解?
最佳答案
- 不允许用户上传服务器代码。
- 不允许用户上传客户端代码。
不可能过滤掉所有的恶意代码。 Google 正尝试在 Play 商店中这样做,并经常证明这一点。
关于javascript - 用于保护允许用户上传样式的网站的沙盒,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10169113/