我一直在考虑将 Google App Engine 用于一些业余项目。虽然他们不会处理任何敏感数据,但出于多种原因,我仍然想让它们相对安全,例如了解安全性、法律等。
在使用 Google App Engine 时需要解决哪些安全问题?
它们是否与其他应用程序(例如以其他语言编写或以其他方式托管的应用程序)所面临的问题相同?
编辑:我进行了一些搜索,看起来我需要清理XSS and Injection. 的输入,还有哪些需要考虑的事项?
【问题讨论】:
标签: python google-app-engine web-applications security
“清理”输入不是避免查询注入和标记注入问题的方法。 在输出阶段使用正确的转义形式是......或者,甚至更好的是,使用为您处理它的更高级别的工具。
所以为了防止对 GQL 的查询注入,请使用GqlQuery 的参数绑定接口。为了防止对 HTML 进行标记注入(导致 XSS),请使用您正在使用的任何模板语言的 HTML 转义功能。例如,对于 Django 模板,|escape... 或者更好的是 {% autoescape on %},这样您就不会不小心错过任何一个。
【讨论】:
http 而不是 javascript... 如果您允许文件上传,您最好将它们保存在一个安全的名称下,并且不是用户提交的...不要从您的主主机名提供用户提交的文件...不要在system 命令或eval...等中使用用户提交的数据等
通常存在相同的问题。此外,谷歌“知道”你的代码,理论上可以监控代码在做什么。因此,如果你想阻止他们读取你的数据是非常困难的。 但我不相信他们有时间和资源来监控你关闭的代码和数据。
【讨论】: