ユーザーが自分のキャンバス アニメーションをアップロードして、他のユーザーが見ることができるサイトを作りたいです。これに関連するセキュリティ リスクへの影響は何ですか? 私が取得しているのはキャンバス関数のみであり、悪意のあるコード スニペットではないことを保証する簡単な方法はありますか? 考え?ありがとうございました。
編集: 各アニメーションを個別のサブドメインに配置するとどうなりますか? ユーザーがアップロードするたびにサブドメインの作成を自動化する方法はありますか?
2 に答える
0
Javascript は非常に柔軟な言語であり、非常に詳細な分析を実行しない限り、実際のコードが実行されていることを確認することはほぼ不可能です。Javascript のアップロードを許可すると、何でも取得でき、使用しようとする保護のほとんどが機能しなくなります。
あなたの場合、アップロード後にJavascriptで変換するカスタム言語でアニメーションシーケンスをアップロードできるようにすることができます。そうすれば、実行される内容をより適切に制御できます。
于 2011-04-23T20:22:08.223 に答える
0
特定のリスクに関して言えば、明白なリスクは、永続的な XSS 脅威を簡単に作成できることです。これにより、ユーザーの Cookie (認証されたセッションを識別するために使用されるものを含む) の読み取りから、ページの書き換えや CSS の変更まで、あらゆることが簡単に実行できます。
また、CSRF への非常に簡単な扉を開き、スクリプトが被害者に代わって任意のコマンドを投稿できる可能性があります。さらに、クリックジャッキングやタブナッピングなどのリスクがあります - エクスプロイトの可能性は非常に広範囲です!
これらの脅威を軽減する方法はありますが、ユーザーが任意のスクリプトをアップロードできるようにしているという事実自体が大きなリスクです。
于 2011-04-24T03:00:03.017 に答える