对此,使用 content-disposition HTTP 标头时有哪些安全注意事项?
问问题
243 次
1 回答
3
呃...它们在RFC 2183中进行了说明,链接到您链接到的答案!
安全注意事项
任何时候用户交换数据都会涉及安全问题。虽然这些不应被最小化,但这份备忘录也不会改变这方面的现状,除非有一个例子。
由于此备忘录为发送者提供了一种建议文件名的方式,因此接收 MUA 必须注意发送者建议的文件名不代表危险。以 UNIX 为例,一些危险将是:
创建启动文件(例如,“.login”)。
创建或覆盖系统文件(例如,“/etc/passwd”)。
覆盖任何现有文件。
将可执行文件放入任何命令搜索路径(例如,“~/bin/more”)。
将文件发送到管道(例如,“| sh”)。
通常,接收 MUA 不应该命名或放置文件,以便在没有用户明确启动操作的情况下解释或执行文件。
需要注意的是,这不是一份详尽的清单。它仅用作一小部分示例。实施者必须警惕其目标系统的潜在危险。
于 2009-06-18T15:07:33.567 回答