Fatal编程技术网

限制javascript功能

javascript security

限制javascript功能,javascript,security,Javascript,Security,我有一个网站,允许用户输入javascript来计算一些值。此脚本可以是随机的,并在serer端执行。 我想执行某种验证,以便将其仅限于“安全”功能 到目前为止,我想到的是 1.限制为单行代码,不允许\r\n。 2.不允许出现“http”、“//”、“\”、“include”、“require” 为了防止骗子在我的后端执行随机操作,我还应该检查什么 多谢各位 Evgeny.“h”+“ttp:“+”/“+”/“黑名单永远不会安全。如果您的要求很简单,请考虑使用大量可用的自定义语言解析器中的一种,在

我有一个网站,允许用户输入javascript来计算一些值。此脚本可以是随机的,并在serer端执行。 我想执行某种验证,以便将其仅限于“安全”功能

到目前为止,我想到的是 1.限制为单行代码,不允许\r\n。 2.不允许出现“http”、“//”、“\”、“include”、“require”

为了防止骗子在我的后端执行随机操作,我还应该检查什么

多谢各位

Evgeny.

“h”+“ttp:“+”/“+”/“
黑名单永远不会安全。如果您的要求很简单,请考虑使用大量可用的自定义语言解析器中的一种,在这里您可以显式地定义语言允许做什么。主要目的是数学。因此,也许我可以将其白名单改为数学运算和转换。白名单更好,但如果你只需要数学,那就更有理由使用专门设计的解析器。你可以在大多数课程中从盒子里找到数学知识。好的,后端是.NET,你知道有什么好的吗?
“h”+“ttp:“+”/“+”/“
黑名单永远不会安全。如果您的要求很简单,请考虑使用大量可用的自定义语言解析器中的一种,在这里您可以显式地定义语言允许做什么。主要目的是数学。因此,也许我可以将其白名单改为数学运算和转换。白名单更好,但如果你只需要数学,那就更有理由使用专门设计的解析器。你可以在大多数课程中从盒子里找到数学知识。好的,后端是.NET,你知道什么好的吗?