使用Google App Engine时需要解决哪些安全问题?
我一直在考虑使用谷歌应用引擎来做一些兴趣项目。虽然这些项目不会处理任何敏感数据,但我还是希望能让它们相对安全,原因有很多,比如学习安全知识、法律方面的考虑等等。
在使用谷歌应用引擎时,有哪些安全问题需要注意呢?
这些问题和其他应用程序面临的安全问题,比如用其他语言编写的应用或以其他方式托管的应用,是一样的吗?
补充一下:我查了一下,发现我需要对输入进行处理,以防止跨站脚本攻击(XSS)和注入攻击。还有其他需要考虑的事项吗?
2 个回答
-2
总的来说,存在相同的问题。此外,谷歌“知道”你的代码,理论上可以监控代码在做什么。因此,如果你想阻止他们读取你的数据,这就非常困难。不过,我不相信他们有时间和资源去那么仔细地监控你的代码和数据。
7
“清理”输入并不是避免查询注入和标记注入问题的好办法。正确的方法是在输出阶段使用合适的转义方式,或者更好的是,使用一个更高级的工具来帮你处理这些问题。
所以,要防止针对GQL的查询注入,可以使用GqlQuery的参数绑定接口。要防止针对HTML的标记注入(导致XSS攻击),可以使用你所用模板语言的HTML转义功能。例如,在Django模板中,可以用|escape...或者更好的是,使用{% autoescape on %},这样就不会不小心漏掉某个地方了。