0
允許用戶將HTML文件上傳到我們的網絡服務器是否存在安全風險?允許用戶將HTML文件上傳到Web服務器的安全風險是什麼?
這裏有幾個項目要考慮:
- 只有用戶可以訪問他們的HTML文件
- 該文件可以包含JavaScript(如果從不同的服務器中引用)
- 的HTML文件存儲作爲數據庫中的二進制數據,直到用戶請求文檔
我更關心繫統的風險,而不是用戶,因爲它必須是他們誰上傳了文件(或其他人已經有權訪問他們的帳戶)。
任何建議非常感謝!
乾杯,
這些都是我的想法。謝謝! –
特別是,如果文件在加載到數據庫之前寫入臨時位置,則需要保護(1)路徑遍歷的上載功能。(2)資源耗盡拒絕服務(3)文件擴展名它可以由上傳器控制。您不希望HTTP服務器以asp,jsp,php等方式提供上傳的文件。 –