Come gestire in modo sicuro la generazione di file sul lato client da scaricare

2

Durante la ricerca di un modo per convertire una tabella HTML in un file .CSV, ho trovato che ci sono 2 modi per generare file da scaricare sul lato client con JavaScript:

  1. utilizzando URL di dati
  2. generando il file sul lato client e pubblicandolo sul server, il quale semplicemente farà eco al file inviato per avviare normalmente il processo di download. qualcosa come questo o questo .

Non posso utilizzare la prima opzione (URL dati) perché è Limitazioni del supporto browser IE per immagini e risorse collegate come CSS o JS , quindi vado con la seconda opzione (generare il file sul client, postarlo sul server, farlo eco al client), stavo pensando a qualcosa di simile a questo script PHP

<?php
header("Content-type: application/octet-stream");
header("Content-Disposition: attachment; filename={$_POST['fileName']}");
die($_POST['file']); 
?>

Come può un utente malintenzionato sfruttare questo script?

Questa vulnerabilità ha un nome noto che posso cercare?

    
posta Accountant م 19.06.2017 - 22:24
fonte

0 risposte

Leggi altre domande sui tag