我的网站中有一个文本区域,用户可以在其中添加 java 脚本代码。我需要检查此代码是否包含任何恶意代码。有哪些选择
- 客户端
- 服务器端
或者我在哪里可以找到检查恶意代码的好材料。
user2780901
问问题
79 次
1 回答
1
webmail 站点(例如 gmail)在呈现 HTML 消息时会剥离所有 Javascript 是有原因的,那是因为验证任何代码是否是恶意代码(尤其是在即将到来的上下文中执行时)实在是太困难了(如果不是不可能的话)来自您的域,从而打开了许多 XSS 问题)。
如果您真的需要 Javascript 支持,您可以将一些支持的功能列入白名单,同时剥离其他所有功能,但即使这条路线也充满危险。
如果安全很重要,您应该强烈考虑是否真的需要 Javascript。一种解决方法可能是在创建 HTML 时为用户提供您自己的解释语言或一组函数,您可以将它们翻译成 Javascript(对我来说,这是唯一安全的选择)。
于 2014-07-28T23:46:37.820 回答