Какие проблемы безопасности необходимо решить при работе с Google App Engine?

Question

Я рассматривал возможность использования Google App Engine для нескольких хобби-проектов. Хотя они не будут обрабатывать какие-либо конфиденциальные данные, я все же хотел бы сделать их относительно безопасными по ряду причин, например, узнать о безопасности, законности и т. Д.

Какие проблемы безопасности необходимо решить при работе с Google App Engine?

Это те же проблемы, с которыми сталкиваются другие приложения - например, приложения, написанные на других языках или размещенные другими способами -

Редактировать: Я провел поиск, похоже, мне нужно очистить ввод для XSS и инъекций. Что еще нужно учитывать?

Answer 1

«Санитарный» ввод - это не способ избежать проблем с внедрением запросов и внедрением разметки.Использование правильной формы экранирования на этапе вывода - это ... или, что еще лучше, использование высокоуровневого инструмента, который имеет с вами дело.для GQL используйте интерфейс привязки параметров GqlQuery .Для предотвращения внедрения разметки в HTML (что приводит к XSS) используйте функцию экранирования HTML любого языка шаблонов, который вы используете.Например, для шаблонов Django |escape ... или, что лучше, {% autoescape on %}, чтобы вы случайно не пропустили один из них.

Answer 2

В общем, есть те же проблемы. Кроме того, Google «знает» ваш код и теоретически может отслеживать все, что делает код. Поэтому очень сложно, если вы хотите, чтобы они не читали ваши данные. Но я не верю, что у них есть время и ресурсы для мониторинга вашего кода и данных, которые закрываются.