1. 首頁
  2. 問答
  3. 允許用戶將HTML文件上傳到Web服務器的安全風險是什麼?

允許用戶將HTML文件上傳到Web服務器的安全風險是什麼?

2011-08-10 25 views
0

允許用戶將HTML文件上傳到我們的網絡服務器是否存在安全風險?允許用戶將HTML文件上傳到Web服務器的安全風險是什麼?

這裏有幾個項目要考慮:

  • 只有用戶可以訪問他們的HTML文件
  • 該文件可以包含JavaScript(如果從不同的服務器中引用)
  • 的HTML文件存儲作爲數據庫中的二進制數據,直到用戶請求文檔

我更關心繫統的風險,而不是用戶,因爲它必須是他們誰上傳了文件(或其他人已經有權訪問他們的帳戶)。

任何建議非常感謝!

乾杯,

來源

2011-08-10 Stefan H

回答

3

很小,如果有的話。它是HTML,所以你不在服務器上執行任何操作。如果它是絕對的,積極地只被上傳者查看,那麼沒有任何值的XSS或CSRF攻擊向量。

您最大的風險可能在於上傳功能,並確保沒有惡意負載可以在服務器端執行。

來源

2011-08-10 20:58:13

+0

這些都是我的想法。謝謝! –

+0

特別是,如果文件在加載到數據庫之前寫入臨時位置,則需要保護(1)路徑遍歷的上載功能。(2)資源耗盡拒絕服務(3)文件擴展名它可以由上傳器控制。您不希望HTTP服務器以asp,jsp,php等方式提供上傳的文件。 –

相關問題

 相關問題