3

我正在使用 java 开发一个 Web 应用程序,用户将在其中上传一个 zip 文件。此文件将包含 css 文件、图像、javascript 文件、flash 文件等。zip 文件将上传到 tomcat 的 webapp 目录中。目的是用户将皮肤作为 zip 文件上传,我的 servlet 会将其提取到 webapp 中的某个位置。

我关心的是如何处理这里的安全性。用户可以在 js 文件或其他文件中编写 xss 攻击代码。所有文件都在 zip 文件中。我可以检查 zip 文件的扩展名或 mime 类型。除此之外,我还可以采取哪些其他措施来防止任何形式的攻击。任何类型的示例,代码片段都将受到高度赞赏。

4

1 回答 1

0

您的问题没有具体说明您将如何处理上传的内容,但是如果您想在您的网站上运行它,那么答案是您真的不希望人们能够上传他们自己的 JavaScript。任何在您身边运行的外来代码都可能改变任何东西,并使您的网站以您无法承担责任的方式运行。只需阅读有关点击劫持的 Wikipedia 条目即可。

通过删除标签来清除所有 HTMLscript以防止 JavaScript 执行,不允许自定义 JavaScript,并且对于所有自定义需求,请遵循 @greyfairer 的建议,即使用带有脚本检查的配置文件。

如果您担心用户将对您的网站做什么,请确保限制上传文件的大小(请参阅 Web 服务器文档)。

于 2013-01-26T18:39:23.550 回答