-1

简而言之,我有一个网页,允许人们将文件上传到我的网站,然后显示他们上传的任何内容的链接。

上传文件允许上传任何文件类型,并将其存储在名为“uploads”的公共文件夹中。

我可以预见这会带来很多安全风险。例如,如果用户上传一个 HTML 文件,它在打开时会呈现为网页 - 他们可能会重定向到其中的病毒等。

我希望网站尽可能开放——我喜欢上传器允许用户将网页添加到我的网站的事实。但是,我需要它对用户(和我)来说是安全的。

我怎样才能使网站尽可能开放(允许用户尽可能多的自由)而不容易受到黑客的攻击?

4

1 回答 1

1

您需要考虑多项事项,选择最适合您的软件需求的事项:

  1. 不允许那些可执行文件,如 html、php、cgi
  2. 如果您允许上传这些文件,则在该目录中停止任何脚本执行(这将通过 .htaccess 完成)如果您希望允许 html,则停止任何服务器端脚本,如 PHP。
  3. 而不是直接链接到这些文件。通过您的服务器发送文件,就像从 PHP 标头配置中一样。通过这种方式,文件将作为下载发送,攻击者将无法直接链接到该文件,因此他无法执行它。
于 2016-04-28T10:26:05.940 回答