Sto lavorando con un sistema che consente agli utenti di caricare file CSV, che vengono scaricati da altri utenti.
Il sistema convalida (tra le altre cose) che tutti i file CSV possono essere analizzati da un parser compatibile con RFC 4180 e sono UTF-8 validi. Garantisce che quando i file vengono scaricati, hanno Content-Type: text/csv; charset=utf-8
e Content-Disposition: attachment; filename="download.csv"
.
È stato sollevato il problema che il sistema possa essere utilizzato per trasmettere malware o codice dannoso.
Esistono meccanismi noti in cui un file CSV dannoso potrebbe causare l'esecuzione di codice da parte del destinatario? In tal caso, c'è qualche ulteriore convalida che ridurrebbe il rischio?