ユーザーがzipファイルをアップロードするJavaを使用してWebアプリケーションを開発しています。このファイルには、css ファイル、画像、javascript ファイル、フラッシュ ファイルなどが含まれます。zip ファイルは、tomcat の webapp ディレクトリにアップロードされます。目的は、ユーザーがスキンを zip ファイルとしてアップロードし、サーブレットがこれを webapp 内の場所に抽出することです。
私の懸念は、ここでセキュリティをどのように処理するかです。ユーザーは、js ファイルまたはその他のファイルに xss 攻撃コードを書き込むことができます。すべてのファイルは zip ファイル内にあります。zipファイルの拡張子やMIMEタイプを確認できます。それとは別に、あらゆる種類の攻撃を防ぐために他にどのような行動を取ることができますか. あらゆる種類の例、コード スニペットは高く評価されます。