我們在WebLogic上部署了基於Java的Web應用程序。我們提供了一些PDF文件的直接鏈接,用戶可以在瀏覽器中下載/打開它們。我們的安全團隊聲稱允許在瀏覽器中打開PDF文件存在安全風險。因此,他們希望強制用戶先下載PDF文件,而不是在瀏覽器窗口中打開它們。在瀏覽器惡意打開PDF文件
這真有安全隱患嗎?
如果PFD是一個trogen /脆弱的,如何下載文件並打開它可以解決問題?
他們的方式是以編程方式阻止用戶在瀏覽器窗口中打開PDF文件並強制首先下載PDF文件?
我們在WebLogic上部署了基於Java的Web應用程序。我們提供了一些PDF文件的直接鏈接,用戶可以在瀏覽器中下載/打開它們。我們的安全團隊聲稱允許在瀏覽器中打開PDF文件存在安全風險。因此,他們希望強制用戶先下載PDF文件,而不是在瀏覽器窗口中打開它們。在瀏覽器惡意打開PDF文件
這真有安全隱患嗎?
如果PFD是一個trogen /脆弱的,如何下載文件並打開它可以解決問題?
他們的方式是以編程方式阻止用戶在瀏覽器窗口中打開PDF文件並強制首先下載PDF文件?
強制用戶先保存PDF文件然後打開它實際上可能比讓它在瀏覽器中打開更具風險。
這不是更好:
但它可能會更糟:
強制瀏覽器給下載選項的PDF:
response.setHeader( 「內容處置」, 「附件;文件名= \」 「+文件名+ 」\「」);
您是否嘗試設置響應內容類型爲:response.setContentType(「application/force-download」); http://stackoverflow.com/questions/6520231/how-to-force-browser-to-download-file – HRgiger
感謝評論@HRgiger。系統中的pdf文件由CMS添加。這個CMS直接鏈接到PDF。即主機:7001/contextroot/files/fileName.pdf。 (文件不是由輸出流寫入的。)那麼如何設置內容類型。編寫一個Servlet過濾器將是一個解決方案? – Fahim
好吧,我會給一個鏡頭:) – HRgiger