¿Allow_url_fopen siempre es un riesgo para la seguridad?

3

¿Es allow_url_fopen siempre un riesgo de seguridad o solo cuando permite que otros inserten una URL? por ejemplo, cuando desea establecer enlaces de transmisión de video desde su otro servidor, y la única manera de agregar una nueva URL es desde su área de Administración, y la única persona que tiene acceso a esa área es usted. Entonces, ¿tenemos algún riesgo de seguridad en esta situación?


Para aquellos que desean responder: tenga en cuenta que he leído acerca de cientos de publicaciones de blog y preguntas sobre allow_url_fopen , y todos dicen que en su lugar usan cURL ; Sé qué es el cURL y sé cómo usarlo, y no es exactamente lo mismo, así que olvídalo.

No pregunto sobre alternativas, solo quiero saber la respuesta de mi propia pregunta.

    
pregunta Zargaripour 26.04.2018 - 17:58
fuente

1 respuesta

3

Es un riesgo de seguridad en el sentido de que es increíblemente difícil de hacer bien. Un pequeño error que quizás no tengas ni idea de haber cometido podría comprometerte. Dicho esto, si realmente lo hace correctamente, no debería ser un riesgo de seguridad por sí solo.

Lo compararía, por ejemplo, con Encabezado de política de seguridad de contenido (CSP). Si no comete ningún error que permita el ataque XSS, CSP no es necesario, pero es muy difícil hacerlo bien. Por lo tanto, usar CSP es muy bueno para asegurarse y aumenta la seguridad mucho.

    
respondido por el Peter Harmann 26.04.2018 - 18:27
fuente

Lea otras preguntas en las etiquetas