Caricamento di qualsiasi file HTML sul nostro server

2

Supponiamo che il nostro sito consenta il caricamento di qualsiasi file HTML.

Quindi un hacker può rubare il cookie di altri usando JavaScript.

Che cosa succede se pubblicheremo file HTML caricati con Content-Disposition: attachment ? Proteggerà da questo tipo di attacco?

Quali sono le altre varianti di protezione? Potremmo pubblicare file caricati da un altro dominio. C'è un altro modo per proteggerci da questo?

    
posta porton 02.12.2016 - 05:55
fonte

2 risposte

1

In base agli standard, se si utilizza Content-Disposition: attachment , è previsto che il browser non visualizzi il file HTML ma richieda all'utente di salvarlo come file.

Se vuoi solo condividere file HTML senza visualizzarli, suppongo che vada bene, anche se la cosa convenzionale da fare sarebbe metterli in un formato di archivio, come .tar.gz o .zip .

    
risposta data 02.12.2016 - 06:59
fonte
0

Se posizioni i file caricati in una posizione specifica sul server, configura il tuo web server per visualizzarli come testo in modo che non vengano mai eseguiti.

    
risposta data 04.12.2016 - 19:17
fonte

Leggi altre domande sui tag