Quais são as considerações de usar o conteúdo-disposition cabeçalho HTTP de segurança?
-
06-07-2019 - |
Pergunta
Em resposta a este , quais são as considerações de segurança ao usar o Content-disposition HTTP cabeçalho?
Solução
Uh ... Eles estão enunciados na RFC 2183 , ligada à da resposta você link para!
Considerações de Segurança
Existem problemas de segurança envolvidos qualquer momento os usuários trocar dados. Enquanto estas não devem ser minimizada, nem esta mudança memo o status quo a este respeito, exceto em um caso.
Uma vez que esta nota fornece uma maneira para que o remetente para sugerir um nome de arquivo, um recebimento MUA deve tomar cuidado para que o remetente é sugerido filename não representa um perigo. Usando UNIX como um exemplo, alguns perigos seria:
arquivos de inicialização Criando (por exemplo, ".login").
Criação ou substituição de arquivos de sistema (por exemplo, "/ etc / passwd").
sobrescrevendo qualquer arquivo existente.
Colocar arquivos executáveis ??em qualquer caminho de pesquisa de comando (Por exemplo, "~ / bin / mais").
O envio do arquivo a um tubo (por exemplo, "| sh").
Em geral, o MUA receber não devem nomear ou colocar o arquivo tal que ele vai ter interpretado ou executado sem que o usuário explicitamente iniciar a ação.
É muito importante notar que esta não é uma lista exaustiva; isto é concebido como um pequeno conjunto de exemplos apenas. Os implementadores devem estar alerta para os riscos potenciais em seus sistemas de destino.