我的网络中有一个文本区域,用户可以在其中添加java脚本代码。我需要检查此代码是否包含任何恶意代码。
有哪些选择?或者我在哪里可以找到检查恶意代码的好材料。
答案 0 :(得分:1)
有一个原因,网页邮件网站(例如gmail)在呈现HTML消息时会删除所有Javascript,这是因为要验证任何代码是否是恶意的(如果不是不可能的话)是非常困难的(如果不是不可能的话)来自您的域的上下文,从而打开了许多XSS问题。)
如果您真的需要Javascript支持,您可以将一些支持的功能列入白名单,同时剥离其他所有功能,但即使这条路线也充满了危险。
如果安全性很重要,您应该强烈考虑Javascript是否真的有必要。解决方法可能是提供您自己的解释语言或一组功能,您在创建HTML时为用户转换为Javascript(对我来说,这是唯一安全的选项)。