Cómo administrar de forma segura la generación de archivos en el lado del cliente para descargar

2

Al buscar una forma de convertir una tabla HTML a un archivo .CSV, descubrí que hay 2 formas de generar archivos para descargar en el lado del cliente con JavaScript:

  1. usando URL de datos
  2. generando el archivo en el lado del cliente y publicándolo en el servidor, lo que simplemente hará eco del archivo publicado para activar el proceso de descarga normalmente. algo como esto o this .

No puedo usar la primera opción (url de datos) porque es limitaciones del soporte del navegador IE para imágenes y recursos vinculados como CSS o JS , entonces voy con la segunda opción (generar el archivo en el cliente, publicarlo en el servidor, devolverlo al cliente), estaba pensando en algo como este script PHP

<?php
header("Content-type: application/octet-stream");
header("Content-Disposition: attachment; filename={$_POST['fileName']}");
die($_POST['file']); 
?>

¿Cómo puede un atacante explotar este script?

¿Esta vulnerabilidad tiene un nombre conocido que puedo buscar?

    
pregunta Accountant م 19.06.2017 - 22:24
fuente

0 respuestas

Lea otras preguntas en las etiquetas