亚洲在线久爱草,狠狠天天香蕉网,天天搞日日干久草,伊人亚洲日本欧美

為了賬號安全,請及時綁定郵箱和手機立即綁定
已解決430363個問題,去搜搜看,總會有你想問的

在同一臺服務器或另一臺服務器上執行 JavaScript 代碼的安全方式?

在同一臺服務器或另一臺服務器上執行 JavaScript 代碼的安全方式?

PHP
哈士奇WWW 2021-11-26 16:12:53
我有一個網站建設者,它允許用戶拖放HTML塊(img,div,等...)到頁面中。他們可以保存它。保存后,他們可以查看該頁面。我還允許自定義代碼,如 JavaScript。將他們的頁面顯示在子域 (mypage.example.com) 上的另一臺服務器上是否安全,但仍然從與主服務器相同的數據庫中獲取,或者將其與主服務器放在同一臺服務器上是否無關緊要?服務器?據我所知,它們不能執行任何 PHP 代碼,因為我將echo用于顯示頁面內容。感謝幫助!
查看完整描述

2 回答

?
素胚勾勒不出你

TA貢獻1827條經驗 獲得超9個贊

這取決于您的設置。如果您允許他們運行自定義 JavaScript,他們可能會竊取其他用戶的會話令牌,這些令牌可用于竊取其他帳戶。我建議閱讀有關 XSS (Cross-Site-Scripting) 的文章。

簡而言之:XSS 是將代碼注入站點的漏洞,該站點將在其他人的計算機上運行。

在這一點上給你一個關于如何做到這一點的嚴格教程是沒有意義的,因為每個系統都是不同的,需要不同的配置來抵抗攻擊。

讓用戶把代碼放在某個地方總是有風險的!


查看完整回答
反對 回復 2021-11-26
?
幕布斯7119047

TA貢獻1794條經驗 獲得超8個贊

不需要另一臺服務器,但您確實需要另一個域來防止主頁上的跨站點腳本攻擊。不,一個子域可能還不夠,為了安全起見,將它完全放在另一個域上。(幸運的是,如果您對域名沒問題,可以免費獲得.tk域名)

將他們的頁面顯示在子域的另一臺服務器上是否安全

即使是子域也可能是危險的,只需將其完全放在另一個域中,您就會安全。

或者把它和主服務器放在同一臺服務器上沒有關系嗎?

你可以在同一臺服務器上使用它。順便說一句,您是否知道共享虛擬主機服務(如 GoDaddy、hostgator 等)有數千個網站共享一個物理服務器?

  • 另外,不要聽人們說您需要清理或過濾 HTML,那不是真的。在我看來,沒有必要過濾掉任何數據損壞的東西。不要對您的用戶這樣做,沒有必要這樣做。(至少我想不出)

據我所知,他們無法執行任何 PHP 代碼,因為我將使用 echo 來顯示頁面內容。

正確的。如果你在做include("file");或者eval($code);他們可以執行服務器端代碼,但只要你在做echo $code;,他們就無法執行服務器端代碼,這不是安全問題。


查看完整回答
反對 回復 2021-11-26
  • 2 回答
  • 0 關注
  • 212 瀏覽

添加回答

舉報

0/150
提交
取消
微信客服

購課補貼
聯系客服咨詢優惠詳情

 幫助反饋 APP下載

慕課網APP
您的移動學習伙伴

 公眾號

掃描二維碼
關注慕課網微信公眾號