Cargando cualquier archivo HTML a nuestro servidor

2

Supongamos que nuestro sitio permite cargar cualquier archivo HTML.

Luego, un pirata informático puede robar la cookie de otro usando JavaScript.

¿Qué pasa si vamos a servir los archivos HTML cargados con Content-Disposition: attachment ? ¿Protegerá esto contra este tipo de ataque?

¿Cuáles son otras variantes de protección? Podemos servir archivos subidos desde otro dominio. ¿Hay otra forma de protegernos contra esto?

    
pregunta porton 02.12.2016 - 05:55
fuente

2 respuestas

1

De acuerdo con los estándares, si utiliza Content-Disposition: attachment , se espera que el navegador no muestre el archivo HTML, sino que solicite al usuario que lo guarde como un archivo.

Si solo quieres compartir archivos HTML sin mostrarlos, supongo que está bien, aunque lo convencional sería colocarlos en un formato de archivo, como .tar.gz o .zip .

    
respondido por el DepressedDaniel 02.12.2016 - 06:59
fuente
0

Si coloca los archivos cargados en una ubicación específica en el servidor, configure su servidor web para mostrarlos como texto para que nunca se ejecuten.

    
respondido por el Julian Knight 04.12.2016 - 19:17
fuente

Lea otras preguntas en las etiquetas