我读this artcile上的文件上传安全,但现在看来,我上传的有效PDF被授予访问禁止后实施这个htaccess顶部提到的其他安全方法:文件安全使用htaccess阻止普通的pdf文件
deny from all
<Files ~ "^\w+\.(gif|jpe?g|png|pdf|doc|docx|txt|rtf|ppt|pptx|xls|mp4|mov|mp3|mpg|mpeg)$">
order deny,allow
allow from all
</Files>
文件名看起来是这样的: 公司APV-A4-Solarpanels_ABC-RH.pdf
因为htaccess的是为了防止双倍扩展攻击,如果我理解正确的话应该是罚款。希望有人能帮助!
_doubled extension attack_(这只是Microsoft Windows用户使用_Hide已知文件类型选项_ON_时出现的一个问题,它是一个选项,我总是关闭_OFF_)意味着一个名为OpenMe.pdf.exe的文件作为“OpenMe.pdf”)或类似的正则表达式不匹配的用户。 - 为什么要保护Windows用户不受Microsoft创建的问题的困扰? – 2012-03-03 09:28:27
我认为这篇文章解释得很好,该MIME类型可以被欺骗,这也适用于Apache,这意味着PHP脚本可能被嵌入到图像中,例如... – scott 2012-03-04 10:32:12