允许用户上传 HTML/JS 文件的风险

Question

我们正在为 HTML5 游戏设计一个在线游乐场。用户可以上传包含其游戏的 zip 文件。

上传时，服务器会解压 zip 文件，并根据白名单循环检查其扩展名，允许：

• .html
• .js
• .png
• .jpg
• .appcache
• .m4a
• .ogg

（游戏必须在我们的游戏编辑器中制作，该编辑器导出这些文件文件）。这应该可以防止人们上传 zip、服务器端脚本文件等。

然后，游戏将被移至我们的静态无 cookie 域 (scirra.net)。当游戏在我们的 scirra.com 页面上玩时，游戏会显示在指向 scirra.net 域的 iframe 中。这应该可以防止恶意 JS 访问 scirra.com cookie。

这种 iframe 技术和白名单是否足够全面以防止任何恶意行为？请注意，我们无法真正筛选每个 JS 文件，因此我们应该假设人们会尝试上传恶意 JS。

Answer 1

iframe 的原始继承规则将阻止 scirra.net iframe干扰 scirra.com。

然而，这并不能阻止所有攻击。实际上，您引入了存储型 XSS 漏洞。 XSS 可用于引入基于浏览器的攻击，例如利用 ActiveX 组件中的缓冲区溢出。利用 Flash、Adobe reader 或 Microsoft Office 中的漏洞。

您应该考虑对 scirra.net 内容运行防病毒软件。尽管这并不能阻止所有攻击。 iram 页面可能会重定向或引入另一个包含恶意内容的 iframe。

正如 Cheeksoft 指出的那样。应用程序将能够通过 XSS 相互影响。恶意应用可以访问另一个应用离线存储或获取其他嵌入数据在另一个应用程序中。强制每个应用程序都有其子域将缓解此问题。您可以设置 DNS 记录以将 *.scirra.net 指向您的服务器并在您的 Web 应用程序中管理域名。

Answer 2

在您提供的游戏编辑器中加入一些筛选功能怎么样？屏蔽对外部 URL 的引用、执行代码验证、检查编码等。

您必须锁定 zip 文件以防止篡改，但这可能是个好主意。

Answer 3

对于阅读本文的其他人，有一个 experimental/beta iFrame 沙箱属性：

http://www.whatwg.org/specs/web-apps/current-work/multipage/the-if​​rame-element.html#attr-iframe-sandbox

请注意，它仅当前有效在 Chrome 和 Opera 上。这允许您指定一些限制功能。

然而，就我们的问题而言，我们已经放弃了这个想法，并决定，因为我们在拥有游戏创建程序方面处于有利地位，所以我们可以简单地让用户上传 Json 数据，保证核心的安全由我们托管的引擎功能。

我们可以手动审查和批准使用任何插件，这比手动批准每个游戏的工作要小得多。