2

对此使用 content-disposition HTTP 标头时有哪些安全注意事项?

4

1 回答 1

3

呃...它们在RFC 2183中进行了说明,链接到链接到的答案!

  1. 安全注意事项

    任何时候用户交换数据都会涉及安全问题。虽然这些不应被最小化,但这份备忘录也不会改变这方面的现状,除非有一个例子。

    由于此备忘录为发送者提供了一种建议文件名的方式,因此接收 MUA 必须注意发送者建议的文件名不代表危险。以 UNIX 为例,一些危险将是:

    • 创建启动文件(例如,“.login”)。

    • 创建或覆盖系统文件(例如,“/etc/passwd”)。

    • 覆盖任何现有文件。

    • 将可执行文件放入任何命令搜索路径(例如,“~/bin/more”)。

    • 将文件发送到管道(例如,“| sh”)。

    通常,接收 MUA 不应该命名或放置文件,以便在没有用户明确启动操作的情况下解释或执行文件。

    需要注意的是,这不是一份详尽的清单。它仅用作一小部分示例。实施者必须警惕其目标系统的潜在危险。

于 2009-06-18T15:07:33.567 回答