我们让用户将html上传到我们的服务器。我们需要一个模板语言,以便用户可以将变量插入到渲染输出中,迭代列表等。我们目前正在使用JSF作为模板语言。
如果我们让用户上传带有JSF标签的xhtml,他们可以做些什么吗?或者他们是沙箱吗?
我们故意避免使用JSP,因为我们不希望用户在可以在服务器上运行的页面中插入恶意Java代码。
答案 0 :(得分:1)
在安全意义上,JSF页面不沙箱。有范围限制,但这不是真的相同(有些重叠,但它们有不同的目标)。您可能不应该允许上传JSF代码,但您可能仍然会尽可能地筛选/清理输入。如果可能,请使用安全操作的白名单。黑名单几乎总是微不足道,因为列举可能的邪恶价值是不可能的。小心,并在完成后对您的网站进行专业渗透测试,以确保您不会错过任何明显的内容。