例如:'“> sometext< .txt
我目前正在尝试以该格式保存文件,因此如果我在网站上传文件,我就会跳来找到XSS错误。
答案 0 :(得分:2)
Windows(但不一定是NTFS)禁止文件名中的以下字符:\/:*?"<>|,它排除了大多数XSS攻击所需的字符(<>")。 Windows还禁止保留DOS设备文件名,如COM,NUL等(虽然可以创建具有该名称的文件,但无法使用普通的Win32文件系统API完成)。
Linux(以及一般的UNIX和POSIX)更宽松:除了/(目录分隔符)和\0(NULL,原始零)之外,文件名中允许使用每个字符。
我想象一个不安全的网络应用程序,它保存上传文件的文件名完好无损并且没有经过清理的文件名可能会屈服于XSS攻击 - 除非他们也小心不要渲染HTML原始文件。
答案 1 :(得分:0)
Windows禁止这些字符。但您可以尝试Azure Blob存储