Durante la ricerca di un modo per convertire una tabella HTML in un file .CSV, ho trovato che ci sono 2 modi per generare file da scaricare sul lato client con JavaScript:
- utilizzando URL di dati
- generando il file sul lato client e pubblicandolo sul server, il quale semplicemente farà eco al file inviato per avviare normalmente il processo di download. qualcosa come questo o questo .
Non posso utilizzare la prima opzione (URL dati) perché è Limitazioni del supporto browser IE per immagini e risorse collegate come CSS o JS , quindi vado con la seconda opzione (generare il file sul client, postarlo sul server, farlo eco al client), stavo pensando a qualcosa di simile a questo script PHP
<?php
header("Content-type: application/octet-stream");
header("Content-Disposition: attachment; filename={$_POST['fileName']}");
die($_POST['file']);
?>
Come può un utente malintenzionato sfruttare questo script?
Questa vulnerabilità ha un nome noto che posso cercare?