Czy istnieje ryzyko związane z bezpieczeństwem, pozwalając użytkownikowi przesłać plik HTML na nasz serwer WWW?
Oto kilka elementów do rozważenia:
- Tylko użytkownik może uzyskać dostęp do swoich plików HTML
- Plik może zawierać javascript (jeśli istnieje odniesienie z innego serwera)
- Plik HTML jest przechowywany jako dane binarne w bazie danych, dopóki użytkownik nie zażąda dokumentu
Bardziej niepokoję się zagrożeniami dla systemu, a nie dla użytkownika, ponieważ musieliby to być ci, którzy przesłali plik (lub ktoś, kto już ma dostęp do jego konta).
Wszelkie sugestie są mile widziane!
Twoje zdrowie,
Odpowiedzi:
3 dla odpowiedzi № 1Całkiem minimalne, jeśli jakiekolwiek. To jest HTML, więc nie wykonujesz niczego na serwerze. Jeśli jest to absolutnie, pozytywnie tylko oglądane przez przesyłającego, to nie ma wektorów ataku XSS lub CSRF o dowolnej wartości.
Twoim największym ryzykiem jest prawdopodobnie funkcja przesyłania i zapewnienie, że nie ma złośliwego ładunku, który mógłby zostać wykonany po stronie serwera.