我们让我们的用户将 html 上传到我们的服务器。我们需要一种模板语言,以便用户可以将变量插入到呈现的输出中,迭代列表等。我们目前使用 JSF 作为我们的模板语言。
如果我们让用户上传带有 JSF 标签的 xhtml,他们有什么坏处吗?或者他们被沙箱化了?
我们故意避免使用 JSP,因为我们不希望用户在可以在服务器上运行的页面中插入恶意的 Java 代码。
最佳答案
从安全角度来说,JSF 页面没有被沙箱化。有范围限制,但这并不是一回事(有些重叠,但它们有不同的目标)。您可能不应该允许上传 JSF 代码,但无论如何您可能会尽可能地筛选/清理输入。如果可能,请使用安全操作白名单。黑名单几乎总是很容易逃脱,因为枚举可能的邪恶值是不可能的。请小心,并在完成后对您的网站进行专业的渗透测试,以确保您没有遗漏任何明显的内容。
关于security - JSF(Java Server Faces)页面是否被沙盒化了?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15911941/