TL:DR? Word文档是包,那么将它们上传到服务器是危险的吗?
我在Angular 4和Node JS中开发一个应用程序,它在某些时候允许用户上传文件,这些文件应该只是图像,pdf和Word文档。
前端验证顺利进行,直到节点拒绝导出为.docx的Google Docs文件,并说该文件实际上是一个zip(应用程序/ zip)。
好的,完全正常但是原生的Word文档有不同的MIME类型,所以:
我应该启用zip文件上传吗?
考虑到我可以成功地将docx用作zip,添加脚本并返回将其用作docx文件,我是否有任何安全担忧?
是否可以在 docx文件中包含恶意软件并以某种方式在服务器端使用/运行它?
我什么都不担心?
答案 0 :(得分:1)
服务器上的Word文件没有危险,除非您使用Word或其他处理它的工具打开它,并且基本上"运行它"。然后,它为宏恶意软件提供了一个向量,可以在某个可能运行这些宏的程序中打开文件时运行。
只是存储它并让其他人下载它不会以任何方式使您的服务器面临风险。您根据要求存储或发送给其他人的普通文件只是一小部分不会运行的文件。任何代码。
如果您要提供存储和检索机制,您可能希望通过对上传到您的所有文件使用某种扫描程序来防止您成为恶意软件的分发机制,以便您可以过滤掉可能会损害的文件其他人下载并试图打开/运行它们。