0

PHPファイルへのコールバックを使用して、フラッシュで作成されたアップロードスクリプトがあります。この状態では、誰でもポスト リクエストを php スクリプトに送信でき、悪意のあるファイルをアップロードできます。flash と php ファイルをホストするサーバーだけにアクセスを制限したい。

キーをテキストファイルに保存してファイルのアクセス許可を変更しましたが、ファイルにアクセスしてシークレットを取得できるのはphpだけで、フラッシュはありません。フラッシュは取得要求によってファイルを読み取るため、アクセスを制限すると、403 禁止されたアクセスが表示されます。

何かアイデアがありましたら、どうすればよいかアドバイスをお願いします。ありがとうございます。

4

1 に答える 1

0

人々がスクリプトに提出するものを制御することはできません。

CSRF 保護を使用して、Mallory が Alice を騙して悪意のあるデータを送信するのを防ぐことができます (これは、ユーザーの資格情報を使用する場合に役立つため、「Alice である」ことが違いを生む) が、Mallory が単に好きなものを送信するのを止めることはできません。

ある種のモデレーションや悪意のあるファイルの検出、および/または誰 (許可されたユーザー) がサービスを使用できるかについての制限が必要です。

于 2013-03-07T09:35:32.760 に答える