これに対して、content-disposition HTTP ヘッダーを使用する際のセキュリティ上の考慮事項は何ですか?
1 に答える
3
ええと...それらはRFC 2183で綴られており、リンク先の回答からリンクされています!
セキュリティに関する考慮事項
ユーザーがデータを交換するたびに、セキュリティの問題が発生します。これらは最小化されるべきではありませんが、このメモは、1 つの例を除いて、その点で現状を変更しません。
このメモは送信者がファイル名を提案する方法を提供するため、受信側の MUA は、送信者が提案するファイル名が危険を表していないことに注意する必要があります。例として UNIX を使用すると、いくつかの危険は次のようになります。
スタートアップ ファイルの作成 (例: ".login")。
システム ファイルの作成または上書き (例: "/etc/passwd")。
既存のファイルを上書きします。
実行可能ファイルを任意のコマンド検索パス ("~/bin/more" など) に配置します。
ファイルをパイプに送信します (例: "| sh")。
一般に、受信側の MUA は、ユーザーが明示的にアクションを開始しなくてもファイルが解釈または実行されるように、ファイルに名前を付けたり配置したりしないでください。
これは完全なリストではないことに注意してください。これは、例の小さなセットとしてのみ意図されています。実装者は、ターゲット システムの潜在的な危険に注意する必要があります。
于 2009-06-18T15:07:33.567 に答える