ssc*_*rus 7 security file-type ruby-on-rails whitelist
我有一个系统,用户可以在其中上传任何东西 - 这些文件可供其他用户使用。
我需要列出不同行业的专业人员真正需要的文件类型列表,这些文件类型不会受到黑客攻击/病毒等的侵害。
.doc .docx .gif .jpg .jpeg .mpg .mpeg .mp3 .odt .odp .ods .pdf .ppt .pptx .tif .tiff .txt .xls .xlsx .wav
您还知道哪些既有用又安全的其他文件类型?
许多评论和回复都要求对“免受黑客攻击/病毒攻击”提供更清晰的定义——我问这个问题的详细程度正是因为我对文件类型及其风险的理解不如许多人那么深入你这样做,我想1)任何文件类型2的指导,可能让我的网站更安全,)如果是没有“安全”的文件类型,然后就如何一个系统,允许灵活的上传前进的任何建议和文件共享。
如果确实可以将任何恶意文件打包为看似安全的文件,我该如何保护我的用户?
您不能假设具有给定扩展名的所有文件都不会受到“病毒”的侵害。
我可以轻松地重命名恶意可执行文件.doc并“破解”您的系统。
编辑:
没有(简单?)方法来检查用户上传的文件是否是恶意的。
您正在创建的应用程序与任何其他文件共享网站(Rapidshare、Megaupload 等)没有什么不同。
没有什么可以阻止任何人将恶意文件上传到这些网站。