我想知道从我的网络应用程序中下载URL的内容是否存在任何安全风险。我正在使用WebClient.DownloadString()来解析返回的数据。
网址由用户提供,我无法控制它返回的内容及其外观。我猜WebClient不执行任何脚本?但还有什么我需要担心的吗?
用户最终将能够看到我的服务器上发生的WebClient下载操作的输出。我有点担心他们可能选择提供的URL将是“file://c//inetpub/website/web.config”或其他一些......
对于如何在这里保护自己的任何建议表示感谢?
由于
答案 0 :(得分:2)
在技术层面上,您应该实现一个验证器,确保提供的URL遵循某些严格的规则,例如:以“http”开头,依此类推。这样就无法定位本地资源。
但我会更关注法律问题。您的用户可以使用您的服务器访问其他服务器上的非法内容。您不想提供此类内容。
更糟糕的是,有人可以攻击其他服务器,看起来你是攻击的来源。您基本上是为攻击者提供代理。我想在咨询专门从事互联网法律的律师之前,最好先使用这样的服务。