我有一个文本区域在我的网页,用户可以添加java脚本代码。我需要检查一下这个代码是否包含恶意代码。
有哪些选项- 客户端
- 服务器端
或者我在哪里可以找到一个很好的材料来检查恶意代码
webmail站点(例如gmail)在呈现HTML消息时剥离所有Javascript是有原因的,那是因为验证任何代码是否为恶意代码太难了(如果不是不可能的话)(特别是当在上下文中执行时,因为来自您的域,从而打开了一系列XSS问题)。
如果你真的需要Javascript的支持,你可以把一些受支持的函数列入白名单,同时去掉其他的,但即使这样也充满了危险。
如果安全性很重要,您应该强烈考虑Javascript是否真的有必要。一种解决方法可能是提供您自己的解释语言或一组函数,在创建HTML时为用户翻译为Javascript(对我来说,这是唯一安全的选择)。