我一直在考虑在一些业余项目中使用Google App Engine。虽然它们不会处理任何敏感数据,但出于多种原因,比如学习安全性、法律等,我仍然希望使它们相对安全。
在使用Google App Engine时需要解决哪些安全问题?
它们与其他应用程序(如使用其他语言编写或以其他方式托管的应用程序)面临的问题是否相同?
编辑:我进行了一些搜索,看起来我需要为XSS和注入清理输入。还有哪些事情需要考虑?
我一直在考虑在一些业余项目中使用Google App Engine。虽然它们不会处理任何敏感数据,但出于多种原因,比如学习安全性、法律等,我仍然希望使它们相对安全。
在使用Google App Engine时需要解决哪些安全问题?
它们与其他应用程序(如使用其他语言编写或以其他方式托管的应用程序)面临的问题是否相同?
编辑:我进行了一些搜索,看起来我需要为XSS和注入清理输入。还有哪些事情需要考虑?
|escape
...或者更好的是{% autoescape on %}
,这样你就不会意外地漏掉一个。
http
而不是javascript
... 如果允许文件上传,最好将它们保存在安全名称下,而不是用户提交的名称... 不要从主机名提供用户提交的文件... 不要在system
命令或eval
中使用用户提交的数据...等等。 - bobince