2

Tumblr や Posterous などの多くの Web サイトでは、ユーザーが独自のスタイルをアップロードできます。個人用スタイルには、HTML、Javascript、およびサーバー コードの両方を含めることができます。だから私の質問は

  1. ユーザーが悪意のあるサーバー コードをアップロードするのを防ぐ方法。

  2. ユーザーが悪意のあるクライアント コード (Javascript) をアップロードするのを防ぐ方法。

(1) 使用する関数のセットを制限することで解決する方法はかなり理解できます。悪いコードをフィルタリングするのは非常に難しいため、(2) の方が心配です。スタイルには、ユーザー セッションを外部ソースに送信して ID を偽装する悪意のあるコードが含まれている可能性があります。アップロードされたスタイルが外部フレームにないことに気付いたので、ユーザー セッションを盗むことは明らかな懸念事項のようです。

上記の質問についてより良い知識を持っている人はいますか?

4

1 に答える 1

1
  1. ユーザーがサーバー コードをアップロードできないようにします。
  2. ユーザーがクライアント コードをアップロードすることを許可しないでください。

すべての悪意のあるコードをフィルタリングすることはできません。Google は Play ストアでそうしようとしており、定期的にその点を証明しています。

于 2013-04-13T14:00:46.993 に答える