生徒がJavaScriptプログラミングについて教えるための簡単なWebページを作成する予定です。このページでは、テキストボックスを用意してJavaScriptを実行して、職場での言語の動的な性質を確認できるようにしたいと考えています。しかし、私は、eval()をユーザー入力に使用することは、通常、本当に悪い考えです。このようなページを公開すると、どのようなセキュリティ上のリスクが発生しますか?これらのリスクを軽減するためにはどのような措置を取る必要がありますか?eval()を使用してJavaScriptでユーザー入力を実行するセキュリティリスク
答えて
自分のマシンで実行されます。文字列を保存して他の人に送信しないようにしてください。また、GETを介してURLに値を入れないでください(電子メールで送信できるように)。
つまり、ユーザーがフォーム上で実行したいコードは、サイトが実行されているドメインの権限を持つことができるということです。
ロックされているが、あなたのサイトを信頼しているマシンでコードを実行したい場合(例えば、アクティブなxコントロールなどを実行できるようにする)、その人は正しいコードを入力して、サイトを使用してスクリプトを信頼できる場所に評価してください。基本的には、これを行うことで、そのページで実行されていることが、あなたのドメインを信頼する人々にとって安全であることが証明されます。 (IEなどの信頼できるサイトを考えてください)
ローカルの「スローアウェイ」マシンの場合、リスクはほとんどありません。すべてがクライアント側で実行されているので、自分自身を傷つけるのはJavaScriptです。最悪の場合、彼らはAjax接続を開くことができるかもしれませんが、それは彼らにTamper DataアドオンのFirefoxを与えるよりもそれほど有害ではありません。
要するに、使用しているマシンを除いて、JavaScriptを使用して自由に支配するリスクはほとんどありませんが、十分に巧妙であれば自分でできないものは何もありません。私は彼らが自分のマシンでそれを実行することをお勧めしたいと思います。デモボックスでは、いつでも再イメージすることができます。
今のところ、PHP/etcへのevalアクセス権を与えることは恐ろしい、ひどい考えです。
あなたが取っているセキュリティリスクは、ユーザーからの入力を受けて、サイトのスクリプトのコンテキストで実行していることです。どのような理由であれ、ウェブサイト上で実行されているJavaScriptを変更する完全なアクセス権を持っている悪質なクラッカーであったとします。あなたのドメイン上で実行されているJavaScriptには、実行可能な機能(Cookieの盗用、XSS、ドライブバイマルウェアなど)を行うことができます。
リスクを軽減するために現実的にできるのは、ユーザー提供のコンテンツを評価しないことです。 「安全な」入力のみを許可するように入力をサニタイズしようとすると、失敗することになります。潜在的な攻撃者が自分の意図を隠すための解釈された言語を持っていることを考えると、何が安全であるかを定義することはほとんど不可能です。
教育目的のためのものであれば、セキュリティホールのすべてが重要でないことを確認するだけです。悪いJavaScriptはサーバーを破壊したり、銀行の口座から盗むことはできません。ページをホストしているサイトに盗難に値するクッキーやセッションがなく、学生がそれが単なる教育リソースであることが分かっている場合、私は心配するものはないと思います。攻撃の大部分は、ドメインに格納されている機密情報にアクセスすることや、ドメイン訪問者を機密情報を何らかの理由で欺くことに依存しています(phishing攻撃など)。あなたの目的のために、私はあなたがOKであると思う - ただ "本当の"ウェブサイトでそれをしないでください。
すごい説明。 –
開発ツールを使用したい任意のコードをユーザーが実行できることを考慮して、ユーザーが提供する任意のコードを実行する機能はありませんか? –
評価されたコードがすべてのグローバル(ウィンドウ)オブジェクトのプロパティとメソッドにアクセスするのを防ぐために、すべてのユーザー入力評価をサンドボックスすることをお勧めします。
これらはサンドボックスではなく、新しい環境です。親ウィンドウは 'parent'または' top'で簡単にアクセスでき、オブジェクトのevalメソッドを使うことができます。 JavaScriptの実際のJavaScriptサンドボックスライブラリはJSandboxです。 –
本当にここには深刻なリスクがありません:
は、次のリソースへの外観を与えます。たとえば、このページでFirebugを開き、コンソールに「eval("alert('hello');");
」と入力しますか?あんまり。
デモの目的でこれは大したことではありません。
JavaScriptサンドボックスライブラリを使用できます。 Dean EdwardのソリューションCajaは、コードが現在のウィンドウまたはドキュメントにアクセスすることを制限しません。 JSandboxライブラリーはWeb Worker Threadsを使用してコード実行を完全にサンドボックス化します(このためにDOMを使用することはできません)。ただし、サポートするブラウザーでのみ機能します。
JSandboxは非同期なので、コールバックを使用するように選択した場合は、コールバックを使用するようにコードを変更する必要があります。
- 1. eval()を使用してJSONでJavaScript関数を実行
- 2. Javascriptを使用してコマンドプロンプトでユーザー入力を促す
- 3. javascriptを使用してユーザー入力を制限する
- 4. ユーザー入力でcrontabを実行
- 5. .NETでEvalを使用してCssClassに文字列を入力する方法
- 6. HTMLフォームフィールドを入力してJavaScriptを実行する方法は?
- 7. javascript/jqueryを使用してユーザー入力をライブスタイルにする方法
- 8. Rubyでshellコマンドを実行しているときにユーザー入力をパラメータとして使用
- 9. javascriptのevalの実行を遅く
- 10. .splitを使用してユーザー入力を処理する
- 11. laravel:SQLでユーザー入力のクエリを実行するには?
- 12. evalを使用してaasmブロックを実行するときのエラー
- 13. TDD JavaScriptのユーザー入力をシミュレートする
- 14. JavaScriptを使用して複数のテキストボックスを入力する
- 15. javascriptを使用して入力フィールドを作成する
- 16. Mavenを使用してユーザーにプロパティを入力させる
- 17. ユーザー入力を使ってDjangoでユーザーを作成する
- 18. ユーザー入力をjavascript配列に格納して表示する
- 19. Javaラボでの使用(ユーザーが無効な入力を入力)
- 20. javascriptを使用したデータベース入力
- 21. RingoJS javascript - コンソールでユーザー入力を取得
- 22. Windowsサービスを「ローカルシステム」として実行する際のセキュリティリスクは何ですか?
- 23. javascriptを使用してhtmlページにユーザーが入力した文字列を受け入れる
- 24. 使用AJAXユーザー入力
- 25. Pythonを使用してSeleniumでjavascriptを実行する
- 26. ASP.NET MVC3入力は、クエリパラメータを使用してGETを実行します
- 27. メインバインディングでevalを実行するには
- 28. HTML5データ文字列をJavaScript(evalなし)として実行しますか?
- 29. ファイル入力欄でjavascript/jqueryを使用
- 30. マクロを使用しているユーザーからの入力を受け入れる
ページをローカルで実行するだけです。それをウェブ上に置く理由はありません。 –