我一直在考虑将 Google App Engine 用于一些业余爱好项目。虽然他们不会处理任何敏感数据,但出于多种原因,我仍然希望使它们相对安全,例如了解安全性、法律等。
使用 Google App Engine 时需要解决哪些安全问题?
它们是否与其他应用程序(例如用其他语言编写或以其他方式托管的应用程序)面临相同的问题?
编辑:我做了一些搜索,看起来我需要清理输入XSS 和注入。 https://stackoverflow.com/q/1823536/467675还有哪些其他需要考虑的事情?
“清理”输入并不是避免查询注入和标记注入问题的方法。使用正确的转义形式在输出阶段是......或者更好的是,使用更高级的工具来为您处理它。
因此,为了防止针对 GQL 的查询注入,请使用以下参数绑定接口GqlQuery http://code.google.com/appengine/docs/python/datastore/gqlqueryclass.html。为了防止针对 HTML 的标记注入(导致 XSS),请使用您所使用的任何模板语言的 HTML 转义功能。例如,对于 Django 模板,|escape
... 或更好,{% autoescape on %}
这样您就不会一不小心错过任何一个。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)