服务器上的Javascript安全性
我正在开发一个web应用程序,用户可以上传文件并执行它们。 我的意思是,他们可以上传一个html文件,然后通过单击,他们可以在我的web应用程序中的iframe中执行它,并查看呈现的html 出于安全原因,我拒绝上传php文件,因为这些文件可能会访问我的服务器并造成混乱服务器上的Javascript安全性,javascript,security,Javascript,Security,我正在开发一个web应用程序,用户可以上传文件并执行它们。 我的意思是,他们可以上传一个html文件,然后通过单击,他们可以在我的web应用程序中的iframe中执行它,并查看呈现的html 出于安全原因,我拒绝上传php文件,因为这些文件可能会访问我的服务器并造成混乱 我想知道,如果使用javascript,他们是否也会制造问题,攻击我的服务器或其他什么。。。我在某个地方读到myspace不知何故被javascript文件入侵。。。我还看到Wordpress会删除托管版本上的任何脚本。JS如何
我想知道,如果使用javascript,他们是否也会制造问题,攻击我的服务器或其他什么。。。我在某个地方读到myspace不知何故被javascript文件入侵。。。我还看到Wordpress会删除托管版本上的任何脚本。JS如何在服务器上产生问题?从外部用户上传文件,这些文件将被服务器解析/解释,这是非常危险的。我强烈建议您不要尝试这样做,如果您必须这样做,您必须更多地了解在您的特定环境中这样做的安全后果 针对您的特定问题:客户端解释的Javascript如何在您的站点中导致安全问题?我的翻译 虽然Javascript本身不会在您的服务器上执行,也不会直接影响您的环境,但Javascript将使用来自服务器的其他脚本的作用域/权限在用户的web浏览器中执行。通常,安全漏洞是由欺骗web服务器在其他用户的会话上提供上载的脚本引起的,这使攻击者能够访问属于另一用户的沙盒环境/变量
有很多方法可以防止这些漏洞,但这可能很棘手,并且取决于您特定环境中的许多情况。其他主要的、经验丰富的托管环境,如Wordpress和其他许多人在他们自己的网站上阻止了这一点,这一事实应该让你知道这有多危险。你不应该允许上传。相反,您应该在一个空白的iframe中显示源代码,就像其他代码编辑器站点在没有执行tml时所做的那样。您真正关心的是什么,嵌入HTML文档中的JavaScript代码?你担心它在你的服务器上执行,还是在浏览器的客户端上执行?我担心用户上传到我的服务器上的html中嵌入或链接的JS。上传的HTMl文件放在我的应用程序的iframe上并显示出来。我将使用“sandbox”属性来限制问题,但由于其他内部原因,我必须允许执行JS。我担心一些恶意用户会做什么…谢谢你的回复。