我有一个用 Flash 制作的上传脚本,带有对 php 文件的回调。在这种状态下,任何人都可以向 php 脚本发送 post 请求并上传恶意文件。我想将访问限制为仅对托管 flash 和 php 文件的服务器的访问。
我已经将一个密钥存储到一个文本文件中并更改了文件权限,但是只有 php 可以访问该文件并获取密钥并且没有闪存。因为闪存通过获取请求读取文件,如果我限制访问,我会看到 403 禁止访问。
如果您有任何想法,请建议我该怎么做,谢谢。
您无法控制人们将提交给脚本的内容。
您可以使用CSRF 保护来防止 Mallory 欺骗 Alice 提交恶意数据(如果您使用用户凭据,这样“成为 Alice”会有所不同,这将有所帮助),但您不能阻止 Mallory 简单地提交她喜欢的任何内容。
您需要对谁(授权用户)可以使用该服务进行某种审核和/或恶意文件检测和/或限制。