2

Tumblr、Posterous 等很多网站都允许用户上传自己的风格。个人样式可能包含 HTML、Javascript 和服务器代码。所以我的问题是

  1. 如何防止用户上传恶意服务器代码。

  2. 如何防止用户上传恶意客户端代码(Javascript)。

我相当了解如何通过限制要使用的函数集来解决(1)。我更关心(2),因为过滤不良代码非常困难。这些样式可能包含恶意代码,这些代码将用户会话发送到某些外部来源,然后伪造他们的身份。我注意到上传的样式不在外部框架中,因此窃取用户会话似乎是一个明显的问题。

有没有人对上述问题有更好的了解?

4

1 回答 1

1
  1. 不允许用户上传服务器代码。
  2. 不允许用户上传客户端代码。

过滤所有恶意代码是不可能的。谷歌正试图在 Play 商店中这样做,并定期证明这一点。

于 2013-04-13T14:00:46.993 回答