Security
我們的網路開發人員有一個需要接受文件上傳的項目。我應該確保涵蓋什麼?
最近的一個項目要求我們的一個網站接受來自(登錄)使用者的文件上傳(主要是圖像,可能還有一些影片)。
當我們將這個項目付諸實施時,我們需要考慮、檢查、確保或計算哪些(通用)事情?
您需要注意:
- 最大文件大小。在許多情況下,這可以由 Web 開發人員完成。
- 權限。您是否希望每個使用者都擁有自己的(虛擬或真實)文件夾,其他人無法看到?
- 您是否希望使用者能夠刪除他們上傳的文件,甚至可以看到它們?他們至少應該能夠驗證他們上傳了哪些文件。
- 您想讓使用者下載文件和上傳文件嗎?根據您的設置,這可能很難實現。
- 確保上傳文件夾不允許它們向上爬到目錄樹。
- 您會按副檔名或其他條件限製文件嗎?您要確保不會無意中設置“warez 伺服器”。我知道這是針對登錄使用者的,但任何安全性都可能以某種方式被破壞。
這就是我目前能想到的所有需要注意的地方。