是否可以将一个http上传请求文件发送到Apache或IIS,该文件具有“../”或“..”的文件名,不会被拒绝,并将传递给php或ASP。网络引擎?
答案 0 :(得分:1)
不是你问的方式。当它到达服务器时,浏览器已经读取了该文件,并将其作为一大块内容提供,没有关于它来自哪里的信息,而不是您可以选择使用或丢弃的原始文件名。
通常,文件上传会进入临时存储位置(例如/ tmp),然后需要将其移出到您可以控制和命名的位置。
此存储在服务器上配置,因此任何将路径信息放入文件名的尝试也应该被服务器的文件上传实现阻止,如果浏览器还没有这样做,应该再次清理文件名。
如果有错误,那么所有赌注都会关闭。