我想构建一个多租户云应用。我的堆栈是 javascript / json end-2-end:用户在浏览器中输入数据,jquery 将其转换为 json,然后发送到我的 node.js 服务器,该服务器又将其作为 json 存储在 couchdb 中。当获取数据时,json 会反过来。如果用户向这个 json 注入一些东西,那么在上面的堆栈中是否有这个 json 实际被评估的地方?如果是,我需要对其进行消毒。 json 清理的健壮性如何?或者沙盒会有帮助吗?它有多强大?
这是一个多租户环境,会有很多用户和公司的秘密数据。
【问题讨论】:
标签: javascript jquery json node.js couchdb
祝你好运
【讨论】:
我建议进行深度防御(即多个重叠的安全机制。Richard 和 Pasha 都提出了很好的建议。
要做的其他事情是使用CouchDB data validation 功能。你用 Javascript 写了一个validate_doc_update 函数。此函数将针对数据库的每一次 更改运行。该函数可以决定数据是否可以接受。
验证在 CouchDB 服务器本身中深入运行。因此,如果你有一个好的验证功能,那么根本不可能存储坏数据。
【讨论】:
Node.js 使用 JSON.parse 来评估 JSON 数据。 JSON.parse 使用严格的 JSON 语法,不允许在数据字符串中声明函数。这也意味着数据键必须是双引号字符串,值只能是布尔、数字、字符串、数组或对象。
【讨论】:
JSON.parse (1) 比 eval() 更安全,而且 (2) 更快。如果您担心安全性,我建议您永远不要使用 eval。