获取上传文件的路径-安全问题?

时间:2019-01-24 20:27:04

标签: file-upload

在我们的应用程序中,我们使用了浏览(文件上传)控件来收集服务器上文件的路径。然后,我们的应用程序稍后会使用该路径来访问文件。 当然,我们可以将整个文件存储到数据库中。我们没有存储文件内容。只有我们存储的路径。由于这是运行我们的应用程序的服务器,因此很容易采用这种方式。这是14年前开发的。那时人们可能认为这还可以。

无论如何,如今,学习文件的完整系统路径的相同方法不起作用。 浏览器将路径更改为c:\ fakepath ... 或它们完全没有路径值。 我们使用的方法很简单。这是filecontrol.value(javascript)。

每个人都在说这是安全问题,这就是为什么浏览器不允许知道文件路径的原因。

任何人都可以指向定义此文件的任何“权威”文档或文章(例如RFC或IETF或W3org)吗?

我在网上搜索了一会儿,读了一堆文章。我找不到任何东西。

或者,如果已经不再是安全性问题,那么在取得很大进步的情况下,还有其他方法可以学习和提取文件上载的路径。 如果我们必须遵循良好的网络标准,则我不想这样做。

0 个答案:

没有答案