服务器上的Javascript安全性

我正在开发一个web应用程序，用户可以上传文件并执行它们。 我的意思是，他们可以上传一个html文件，然后通过单击，他们可以在我的web应用程序中的iframe中执行它，并查看呈现的html

出于安全原因，我拒绝上传php文件，因为这些文件可能会访问我的服务器并造成混乱

---

我想知道，如果使用javascript，他们是否也会制造问题，攻击我的服务器或其他什么。。。我在某个地方读到myspace不知何故被javascript文件入侵。。。我还看到Wordpress会删除托管版本上的任何脚本。JS如何在服务器上产生问题？

从外部用户上传文件，这些文件将被服务器解析/解释，这是非常危险的。我强烈建议您不要尝试这样做，如果您必须这样做，您必须更多地了解在您的特定环境中这样做的安全后果

针对您的特定问题：客户端解释的Javascript如何在您的站点中导致安全问题？我的翻译

虽然Javascript本身不会在您的服务器上执行，也不会直接影响您的环境，但Javascript将使用来自服务器的其他脚本的作用域/权限在用户的web浏览器中执行。通常，安全漏洞是由欺骗web服务器在其他用户的会话上提供上载的脚本引起的，这使攻击者能够访问属于另一用户的沙盒环境/变量

---

有很多方法可以防止这些漏洞，但这可能很棘手，并且取决于您特定环境中的许多情况。其他主要的、经验丰富的托管环境，如Wordpress和其他许多人在他们自己的网站上阻止了这一点，这一事实应该让你知道这有多危险。

你不应该允许上传。相反，您应该在一个空白的iframe中显示源代码，就像其他代码编辑器站点在没有执行tml时所做的那样。您真正关心的是什么，嵌入HTML文档中的JavaScript代码？你担心它在你的服务器上执行，还是在浏览器的客户端上执行？我担心用户上传到我的服务器上的html中嵌入或链接的JS。上传的HTMl文件放在我的应用程序的iframe上并显示出来。我将使用“sandbox”属性来限制问题，但由于其他内部原因，我必须允许执行JS。我担心一些恶意用户会做什么…谢谢你的回复。