使用內容處理HTTP頭的安全性考慮事項是什麼？

Question

作爲對this的迴應，使用內容處置HTTP標頭時的安全考慮事項是什麼？

Answer 1

呃...他們拼寫在RFC 2183，從鏈接到你鏈接到！

安全考慮

有參與任何時候用戶交換數據的安全問題。 雖然這些都不會被最小化，但這個備忘錄在這方面也沒有改變現狀，除了一個例子。

由於此備忘錄爲發件人提供了一種建議文件名的方法， 接收MUA必須注意發件人建議的文件名 不代表危險。使用UNIX作爲一個例子，一些危害 是：

• 創建啓動文件（例如， 「.login文件」）。

• 創建或覆蓋系統文件（例如「/ etc/passwd」）。

• 覆蓋任何現有的文件。

• 將可執行文件放入任何命令搜索路徑 （例如「〜/ bin/more」）。

• 將文件發送到管道（例如「| sh」）。

一般情況下，接收MUA不宜命名或將文件這樣 它將得到解釋或執行未經用戶明確 發起行動。

請注意，這不是一個詳盡的清單;它僅作爲一小組示例使用。執行者必須警惕目標系統上的潛在危險。