繁体 English 中英

在服务器上验证JavaScript代码

[英]Verify javascript code at server

原文 2014-07-28 23:35:57 1 1 java/ javascript/ authentication/ server-side-validation/ code-security

我的网站上有一个文本区域，用户可以在其中添加Java脚本代码。 我需要检查此代码是否包含任何恶意代码。 有哪些选择

客户端端
服务器端

或者在哪里可以找到检查恶意代码的好材料。

1 个解决方案

原因是网络邮件站点（例如gmail）在呈现HTML消息时会剥离所有Javascript，这是因为很难验证（如果不是不可能的话）任何代码是否是恶意的（尤其是在即将到来的上下文中执行）来自您的域，从而引发了许多XSS问题）。

如果您确实需要Javascript支持，则可以在删除所有其他内容的同时将一些支持的功能列入白名单，但是即使这条路线也充满了危险。

如果安全性很重要，则应强烈考虑是否确实需要Javascript。 一种变通办法是在创建HTML时为用户提供您自己的解释语言或将其转换为Javascript的函数集（对我来说，这是唯一安全的选择）。

是否可以验证给定的文本是JavaScript代码？

[英]Is it possible to verify that a given text is JavaScript code?

如何从服务器验证客户端代码未被修改

[英]How to verify from server that client code hasn't been modified

验证Java中的代码格式

[英]Verify code format in Java

Eclipse Builders：验证返回码？

[英]Eclipse Builders: Verify Return Code?

如何在服务器端运行 JavaScript 代码 Java 代码？

[英]How can I run JavaScript code at server side Java code?

如何验证 shadowsocks 服务器是否准备就绪？

[英]How can I verify that the shadowsocks server is ready?

在 ColdFusion 中以编程方式验证邮件服务器连接

[英]Verify mail server connection programmatically in ColdFusion

如何验证密码而不将其未加密发送到服务器

[英]How to verify a password without sending it unencrypted to a server

在Spring上验证来自资源服务器的JWT令牌

[英]Verify JWT token from resource server on Spring

JDK源码中的这些注解是什么来校验参数的？

[英]What are these annotations in the JDK source code to verify parameters?

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 是否可以验证给定的文本是JavaScript代码？如何从服务器验证客户端代码未被修改验证Java中的代码格式 Eclipse Builders：验证返回码？如何在服务器端运行 JavaScript 代码 Java 代码？如何验证 shadowsocks 服务器是否准备就绪？在 ColdFusion 中以编程方式验证邮件服务器连接如何验证密码而不将其未加密发送到服务器在Spring上验证来自资源服务器的JWT令牌 JDK源码中的这些注解是什么来校验参数的？

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM