サイト内のフォルダにファイルをアップロードできる簡単なアップロードフォームがあります。.pdfファイル以外のアップロードを許可したくありません。ただし、アップロードを制限するためにフォームを変更することはできません。また、バックエンドでPHPを使用して制限することもできません。Javascriptは、ユーザーがオフにできるため、安全ではありません。アップロードを.htaccess付きの.pdfファイルに制限するにはどうすればよいですか?
1 に答える
2
私の知る限り、それは不可能です。ただし、返されるファイルを制限し、mimeタイプを強制的に設定してapplication/pdf、そうでない場合でもPDFのように扱われるようにすることはできます。これをJavaScriptと組み合わせると、正直なユーザーに役立ち(たとえば、誰かが誤って選択した場合、.jpgすぐに警告が表示されます)、攻撃がより困難になります。
ただし、サードパーティのmod_uploadが役立つ可能性があるようです。
出力タイプを制限するには、次のような.htaccessファイルを使用できます。
# Prevent request to non-.pdf files
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} ! \.pdf$
RewriteRule (.*) $1 [F]
# Tell the browser that this is a PDF
Header set Content-Type application/pdf
# Hint that the browser shouldn't try to auto-detect the content type
Header set X-Content-Type-Options nosniff
(注:私はそれらをメモリから書き込んだので、信頼する前に必ずテストしてください…)
于 2011-09-01T16:26:27.370 に答える