在上传文件之前,我需要用一些额外的信息对名称进行加盐,以增加文件名唯一(无状态)的机会。调用FileInfo.LastWriteTime-get抛出一个SecurityException说法,该过程需要提升的特权。
我可以在一定程度上看到这些数据中存在一些关于用户的历史信息,但也考虑到无论如何操作是多么容易,但为什么呢?是否有其他方法可以在不需要管理员托管的 OOB 的情况下获取类似信息?
问问题
85 次
2 回答
1
如果有一种方法可以在没有提升权限的情况下获取此信息,那么这将是 Silverlight 中的一个漏洞。经常看到这些 RIA 平台限制这个活动,Flex 也有类似的限制。
如果您只需要一个唯一的文件名,那么您可以使用时间戳+文件名。或md5(timestamp+random_value)+filename。
于 2010-07-13T16:22:15.037 回答
0
没有为什么?因为 Silverlight 中的安全方法是使攻击面尽可能小。获得 a 真正授予的FileInfo只是文件内容。为什么一个应用程序甚至应该知道内容在用户文件系统中的名称是有争议的。
如果您只需要使名称唯一,只需使用 Guid:-
string fileTitle += Guid.NewGuid().ToString("D");
于 2010-07-13T19:08:05.977 回答