1

对于实时在线锦标赛,我上传了一堆由我们的锦标赛软件生成的 html 页面。在网络服务器上,我用这些文件做需要做的事情。所以比赛软件被“集成”在我们的网站上。

现在我们希望其他人运行这些锦标赛,然后他们必须上传这些生成的 html/css 文件。通过 http 上传确实是太多的工作 en 需要太多的时间。

我想创建另一个只能访问锦标赛目录的 ftp 帐户。到现在为止还挺好。

但是,我想将上传文件类型限制为 html 和 css 文件,因此他们只能通过 ftp 上传静态内容(我只是偏执,我不希望他们可以上传带有可能危险代码或其他意外文件类型的 php 文件)

这可能吗?

4

1 回答 1

2

文件只是字节序列,与扩展无关,危险在于您阅读它们的方式。您必须将上传的文件设置为不可执行并且您是安全的。即使您将.css文件设置为以某种方式上传,您也无法仅通过扩展名检查它是否安全,攻击者可能已经手动更改了扩展名。此外,上传 PHP 文件不会有问题,如果您指定 Apache 不知道的上传文件夹,即不在您的 www 文件夹下。

于 2012-05-23T20:46:14.447 回答