أفضل الممارسات لخدمة استرداد URL؟كيفية تجنب التعرض للهجوم؟
https://stackoverflow.com/questions/600349
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
إنني أقوم بتعديل أداة ويب يمكنها، عند وجود عنوان URL، استرداد النص وتزويد المستخدم ببعض الإحصائيات حول المحتوى.
أنا قلق من أن منح المستخدمين طريقة لبدء طلب GET من الصندوق الخاص بي إلى أي عنوان URL عشوائي على الشبكة قد يكون بمثابة ناقل للهجمات (على سبيل المثال.ل http://undefended.box/broken-sw/admin?do_something_bad).
هل هناك طرق لتقليل هذا الخطر؟هل هناك أي أفضل الممارسات عند تقديم إمكانية استرجاع عناوين URL العامة؟
بعض الأفكار التي فكرت بها:
- تكريم
robots.txt - قبول أو رفض أنماط معينة فقط من عناوين URL
- التحقق من القائمة السوداء/القائمة البيضاء للمواقع المناسبة (في حالة وجود شيء من هذا القبيل)
- العمل من خلال وكيل ويب عام معروف لجهة خارجية، على افتراض أنهم قاموا بالفعل ببناء هذه الضمانات
شكرا لمساعدتك.
يحرر:سيتم تقييم محتوى HTML أو النص فقط، دون تنزيل أو تقييم البرامج النصية والصور المرتبطة وما إلى ذلك.إذا كان HTML، سأستخدم محلل HTML.
المحلول
هل ستكون الإحصائيات فقط حول النص في الوثيقة؟هل ستقوم بتقييمه باستخدام محلل HTML؟
إذا كان النص فقط هو الذي ستقوم بتحليله، أي بدون تنزيل المزيد من الروابط، أو تقييم النصوص البرمجية، وما إلى ذلك.عندها يكون الخطر أقل خطورة.
ربما لن يضرك تمرير كل ملف تقوم بتنزيله من خلال برنامج مكافحة الفيروسات.يجب عليك أيضًا تقييد GETs على أنواع معينة من المحتوى (أي.لا تقم بتنزيل الثنائيات؛تأكد من أنه نوع من ترميز النص).
