Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
我们让我们的用户将 html 上传到我们的服务器。我们需要一种模板语言,以便用户可以在渲染输出中插入变量、迭代列表等。我们目前使用 JSF 作为我们的模板语言。
如果我们让用户上传带有 JSF 标签的 xhtml,他们有什么不好的地方吗?或者他们是沙盒的?
我们故意避免使用 JSP,因为我们不希望用户在可以在服务器上运行的页面中插入恶意 Java 代码。
从安全意义上讲,JSF 页面不是沙盒化的。有范围限制,但这并不是一回事(有些重叠,但它们有不同的目标)。您可能不应该允许上传 JSF 代码,但无论如何您可能会尽可能地筛选/清理输入。如果可能,请使用安全操作白名单。黑名单几乎总是很容易逃脱,因为枚举可能的邪恶值是不可能的。小心,完成后对您的网站进行专业的渗透测试,以确保您没有遗漏任何明显的东西。