那些遇到过的问题

可以从不受信任的来源安全地执行TeX代码吗?

Arc*_*ane 6 latex trusted-vs-untrusted web-applications tex

MediaWiki允许人们嵌入TeX数学代码,这些代码被渲染成图像并发布到Wiki页面中.这样安全吗?如果允许不受信任的用户输入要由Web服务器中运行的解释程序执行的TeX程序,是否通过使用TeX解释程序从服务器磁盘读取文件来打开服务器?有没有办法安全地执行不受信任的TeX代码?

Jon*_*son 4

显然,TeX 能够通过正常操作打开和写入文件,这是一个可能的攻击媒介。将执行放入沙箱监狱中应该可以解决这个问题。

请务必禁用 \write18,这允许 TeX 源文件执行操作系统命令。没有充分的理由允许这种机制。

至于 TeX 解释器本身,我想说几乎没有什么可担心的,因为它可能是有史以来编写的所有功能齐全的解释器中错误数量最少的。你的堆栈的其他部分将是一个更大的目标。

归档时间:

查看次数:

334 次

最近记录:

16 年,8 月 前
相关归档
存储过程与无存储过程 - 安全视点 11
Latex,TikZ和章节和数字的单独汇编 10
在webapp中获取当前的svn修订版 9
'unicode'对象不可调用 7
正则表达式在Sweave表达式中查找R代码 7
如何检查我的项目是Visual Studio 2012中的网站还是Web应用程序? 6
如何在MATLAB中使用TeX/LaTeX格式化自定义数据提示? 5
使用Alpine Linux在Docker容器中的LaTeX(Latex的存储库) 5
如何在gradle中设置webAppDirName 4
LaTeX环境中的多个命令 1
难疑归档
如何在Python中安全地创建嵌套目录? 3909
HTML中id属性的有效值是什么? 1945
如何为C#Auto-Property提供默认值? 1773
如何在Python中删除尾部换行符? 1593
JavaScript中==和===之间的区别 1592
如何在Git中完全替换另一个分支中的master分支? 1549
检索HTML元素的位置(X,Y) 1418
为什么文本文件以换行符结尾? 1375
如何从JavaScript对象中删除密钥? 1171
如何在PHP中获取客户端IP地址 1123