我一直在考虑将Google App Engine用于一些业余爱好项目。虽然他们不会处理任何敏感数据,但我仍然希望让他们相对安全,原因有很多,比如学习安全,法律等等。
使用Google App Engine时需要解决哪些安全问题?
它们是否与其他应用程序(如用其他语言编写或以其他方式托管的应用程序)面临的问题相同?
编辑:我做了一些搜索,看起来我需要清理XSS and Injection.的输入还有什么需要考虑的事情?
答案 0 :(得分:7)
“消毒”输入不是避免查询注入和标记注入问题的方法。在输出阶段使用正确的转义形式是......或者更好的是,使用更高级别的工具来处理它。
因此,为了防止针对GQL的查询注入,请使用GqlQuery的参数绑定接口。为防止对HTML进行标记注入(导致XSS),请使用您正在使用的任何模板语言的HTML转义功能。例如,对于Django模板,|escape ...或者更好,{% autoescape on %},所以你不会意外错过一个。
答案 1 :(得分:-2)
一般来说存在同样的问题。此外,谷歌“知道”你的代码,理论上可以监控代码正在做什么。因此,如果您想阻止他们读取您的数据,则非常困难。 但我不相信他们有时间和资源来监控您关闭的代码和数据。