[英]Is using RinRuby secure for web solutions?
我記得在紐約參加的一些聚會中,貝爾實驗室的人們正在嘗試使用R在網絡上解決潛在的安全問題。 如果R會話對用戶有效,則存在將代碼注入Web應用程序的潛在風險。
現在,這是在HTML 5和PHP的上下文中介紹的,但是我看不到將RoR與RinRuby gem一起使用時會有什么不同。 作為開發人員,在使用此gem時,我們應遵循一些規則來避免常見的安全隱患嗎?
通常,R並不是在考慮安全性的情況下構建的(另請參見Jeroen Ooms在arXiv上的預印本 )。 不穩定的數字解析也臭名昭著。
從源代碼來看( 兩年沒有更新 !),RinRuby似乎也沒有提供任何與注入的隔離-裸露的eval
是通向地獄的門戶,他們說:)
因此,遵循諸如OWASP指導原則來避免通過仔細驗證,參數化和將輸入列入白名單而避免注入的責任。 考慮到上述解析數字的怪癖,您必須將輸入限制為合理的時間間隔。
只是我的2美分...
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.