3
내 웹 응용 프로그램의 최종 사용자가 데이터베이스에 저장된 뷰 (웹 기반 백 오피스를 통해)를 수정하도록 허용하려고합니다. 원하는보기 엔진은 코드 삽입 안전성이 있어야합니다. 즉, 최종 사용자는 사용 가능한 표현식의 최소 수로 제한되며 서버 코드 삽입은 허용되지 않습니다.MVC 뷰 엔진 선택
적합한보기 엔진을 다운로드 할 수 있습니까?
A
답변
2
나는 기존 엔진의 모르겠지만, 필 Haack는 데이터베이스에 저장 뷰에 대한 게시물이 있습니다 : 사용자가 만든 뷰의 아이디어 http://haacked.com/archive/2009/04/22/scripted-db-views.aspx
그 후 거래를. XSS 스타일의 코드 삽입 공격으로부터 보호하려면 sanitize your HTML을 사용할 수 있습니다.
내 응용 프로그램의 최종 사용자가보기를 수정할 수있게되면보기에 서버 코드를 삽입 할 수 있습니다 (예 : spark view-engine을 사용하는 경우 : 해당 구문을 사용하여 : ).
! {SERVER_CODE_THAT_CAN_DO_ANYTHING_UNSECURE}
) 여기 웹 서버에 보안 허점이 있습니다. – leonard그게 바로 두 번째 링크의 목적입니다. Jeff Atwood 자신이 악성 물질을 제거하는 방법을 보여줍니다. 서버는 ASP.NET MVC에서 자체를 실행하지 않습니다. 귀하의 주요 관심사는 자바 스크립트 XSS 공격입니다. –