标签: ajax
尽可能避免动态代码解释。如果您的程序功能要求动态地解释代码,则可以通过限制程序将尽可能多地动态执行的代码,将其限制在基础编程语言的特定于应用程序和上下文的子集,来最大程度地降低攻击的可能性。 / p>
如果需要动态执行代码,则未经验证的用户输入永远不应由应用程序直接执行和解释。而是使用间接级别:创建允许用户指定的合法操作和数据对象的列表,并且仅允许用户从列表中进行选择。使用这种方法,永远不会直接执行用户提供的输入。