很多网站如Tumblr,Posterous都允许用户上传自己的风格。个人风格可能包含HTML,Javascript和服务器代码。所以我的问题是
如何防止用户上传恶意服务器代码。
如何防止用户上传恶意客户端代码(Javascript)。
我完全理解如何通过限制要使用的函数集来解决(1)。我更关注(2)因为过滤坏代码非常困难。样式可能包含恶意代码,用于将用户会话发送到某些外部源,然后伪造其身份。我注意到上传的样式不在外部框架中,因此窃取用户会话似乎是一个明显的问题。
有没有人对上述问题有更好的了解?
答案 0 :(得分:1)
无法过滤所有恶意代码。谷歌正试图在Play商店这样做,并经常证明这一点。