沙盒保护允许用户上传样式的网站

时间:2012-04-16 05:31:04

标签: javascript security sandbox

很多网站如Tumblr,Posterous都允许用户上传自己的风格。个人风格可能包含HTML,Javascript和服务器代码。所以我的问题是

  1. 如何防止用户上传恶意服务器代码。

  2. 如何防止用户上传恶意客户端代码(Javascript)。

  3. 我完全理解如何通过限制要使用的函数集来解决(1)。我更关注(2)因为过滤坏代码非常困难。样式可能包含恶意代码,用于将用户会话发送到某些外部源,然后伪造其身份。我注意到上传的样式不在外部框架中,因此窃取用户会话似乎是一个明显的问题。

    有没有人对上述问题有更好的了解?

1 个答案:

答案 0 :(得分:1)

  1. 不允许用户上传服务器代码。
  2. 不允许用户上传客户端代码。
  3. 无法过滤所有恶意代码。谷歌正试图在Play商店这样做,并经常证明这一点。