WL 6.0.0.1服务器安全 - 是服务器安全的跨站点脚本/ JavaScript代码注入

Question

这个问题在我们的项目中提出：

安全性现在在HTTPS下工作，具有MobilesEchurity-Test（XSRF等），包括Android的应用程序真实性。我们的适配器不需要任何用户/通过AUTH，因此没有配置其他领域，身份验证或登录模块。该应用程序可以在wl.client.connect之后立即调用适配器过程。

什么是工作灯在服务器端进行，以防止服务器侧JavaScript代码注入攻击？

有关此类型攻击的详细信息： http：//media.blackhat .com / bh-US-11 / SULLIVAN / BH_US_11_SULLIVAN_SERVER_SIDE_WP.pdf

换句话说，（虽然困难）让我们假设有人能够使用我们的APK来创建能够欺骗Worklight Auth /安全机制的新APK，然后我们易受服务器端JavaScript代码注入攻击吗？

它几乎归结为问题，如果所有WL Server调用的所有参数都以最大的安全方式从文本评估并解析为JavaScript对象，如果从未有可能将参数文本作为JavaScript代码执行在服务器上？

如果是，则有任何其他类型的可能攻击，即WL Server JavaScript实现是否可以防止我们甚至可能无法意识到？

Answer 1

参数由适配器作为String / int / bool / array等接收。适配器框架永远不会评估和执行您的参数，因此除非您在代码中的某处明确地使用eval（param），否则您将很好地使用eval（param）。

另一块保护WL适配器框架在注释中是包装适配器响应。例如。如果您的适配器返回{val：1}，则实际响应主体将包含

/* secure {val:1} */

.

这可以防止即使客户端自动评估，也可以执行JS，例如，从<script src="...">加载时