请问下各位,只允许上传html页面是否能防webShell
请教下各位,只允许上传html页面是否能防webShell
公司的产品中有个上传页面的功能,并且上传后需要能访问打开。
在此请教下各位,只允许上传html后缀名的文件能否防止webShell?
------解决方案--------------------
上传任何类型的文件都不会有问题,问题不出在这里,而是服务器将它当作代码执行了。
只要你配置程序不允许执行上传的文件,就是上传aspx或者exe又有什么关系呢。反之,如果你的代码有可能去执行"html文件"中的内容,那就仍然存在这种风险。
公司的产品中有个上传页面的功能,并且上传后需要能访问打开。
在此请教下各位,只允许上传html后缀名的文件能否防止webShell?
------解决方案--------------------
上传任何类型的文件都不会有问题,问题不出在这里,而是服务器将它当作代码执行了。
只要你配置程序不允许执行上传的文件,就是上传aspx或者exe又有什么关系呢。反之,如果你的代码有可能去执行"html文件"中的内容,那就仍然存在这种风险。