Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/javascript/470.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Javascript 沙箱保护允许用户上传样式的网站_Javascript_Security_Sandbox - Fatal编程技术网
Fatal编程技术网
  • javascript/
  • Javascript 沙箱保护允许用户上传样式的网站

Javascript 沙箱保护允许用户上传样式的网站

javascript security

Javascript 沙箱保护允许用户上传样式的网站,javascript,security,sandbox,Javascript,Security,Sandbox,许多像Tumblr、Posterous这样的网站允许用户上传自己的风格。个人风格可能包含HTML、Javascript和服务器代码。所以我的问题是 如何防止用户上传恶意服务器代码 如何防止用户上传恶意客户端代码(Javascript) 我相当了解如何通过限制要使用的函数集来解决(1)。我更关心(2),因为很难过滤坏代码。这些样式可能包含恶意代码,将用户会话发送到某些外部源,然后伪造其身份。我注意到上传的样式不在外部框架中,所以窃取用户会话似乎是一个明显的问题 有人对上述问题有更好的了解吗 不允许

许多像Tumblr、Posterous这样的网站允许用户上传自己的风格。个人风格可能包含HTML、Javascript和服务器代码。所以我的问题是

  • 如何防止用户上传恶意服务器代码

  • 如何防止用户上传恶意客户端代码(Javascript)

    • 我相当了解如何通过限制要使用的函数集来解决(1)。我更关心(2),因为很难过滤坏代码。这些样式可能包含恶意代码,将用户会话发送到某些外部源,然后伪造其身份。我注意到上传的样式不在外部框架中,所以窃取用户会话似乎是一个明显的问题

    有人对上述问题有更好的了解吗

  • 不允许用户上载服务器代码
  • 不允许用户上载客户端代码
    • 不可能过滤所有的恶意代码。谷歌正试图在Play Store中这样做,并定期证明这一点