3

ユーザーがzipファイルをアップロードするJavaを使用してWebアプリケーションを開発しています。このファイルには、css ファイル、画像、javascript ファイル、フラッシュ ファイルなどが含まれます。zip ファイルは、tomcat の webapp ディレクトリにアップロードされます。目的は、ユーザーがスキンを zip ファイルとしてアップロードし、サーブレットがこれを webapp 内の場所に抽出することです。

私の懸念は、ここでセキュリティをどのように処理するかです。ユーザーは、js ファイルまたはその他のファイルに xss 攻撃コードを書き込むことができます。すべてのファイルは zip ファイル内にあります。zipファイルの拡張子やMIMEタイプを確認できます。それとは別に、あらゆる種類の攻撃を防ぐために他にどのような行動を取ることができますか. あらゆる種類の例、コード スニペットは高く評価されます。

4

1 に答える 1

0

あなたの質問は、アップロードされたコンテンツで何をするつもりなのかを指定していませんが、サイトでこれを実行したい場合、答えは、人々が独自の JavaScript をアップロードできるようにしたくないということです。あなたの側で実行されている外部コードは、何かを変更し、責任を負うことができない方法でサイトを動作させる可能性があります。クリックジャッキングに関するウィキペディアのエントリを読んで納得してください。

タグを削除してすべての HTML をクリーンscriptアップし、JavaScript の実行を防ぎます。カスタム JavaScript を許可しないでください。すべてのカスタマイズのニーズについては、スクリプト チェック付きの構成ファイルを使用するという @greyfairer の提案に従ってください。

また、ユーザーがサイトで何をしようとしているのかが気になる場合は、アップロードするファイルのサイズに制限を設けてください (Web サーバーのドキュメントを参照)。

于 2013-01-26T18:39:23.550 に答える