Tengo una aplicación web que solo generará código de seguridad . Necesita pasar esto a un servidor de Python. La forma lógica de pasar cosas entre JavaScript y Python es tener un servidor Flask en ejecución. Luego, el JavaScript enviaría una solicitud como http://example.com/test/?code=this_is_safe_code . El código sería evaluado.
no no quiero que los usuarios externos puedan enviar el código. Quiero que todas las solicitudes sean internas. Como sé que el código transmitido internamente será una expresión matemática segura, me siento cómodo usando eval . Sin embargo, si alguien del exterior envió algo como http://example.com/test/?code=__import__%28%22os%22%29.system%28%22echo%20DANGER%22%29 , Python ejecutaría __import__("os").system("echo DANGER") . Lo que obviamente no es seguro.
Las llamadas de JavaScript son completamente del lado del cliente, no estoy usando ningún JS backend con cosas como node.js .
¿Cuáles son los métodos de seguridad para permitir solicitudes internas desde JavaScript pero no solicitudes externas? ¿Necesitaría esto ser algún tipo de certificado privado?