我正在制作一个新闻通讯编辑器,允许上传文件(通讯的发送者可以上传文件到服务器,这个文件将被链接到电子邮件中)。上传的白名单或黑名单文件扩展名?
该网站已设置为只有.do URIs实际上由servlet执行/处理,因此它没有太大的安全风险,但我被告知黑名单.jsp,.php,.asp,.aspx ,.exe,.com和.bat。这并不是一个全面的黑名单,我认为黑名单不是一个好策略。
另一方面,白名单会长达数十年。什么是识别允许/不允许的扩展的正确方法?或者,允许任何事情并通过病毒扫描程序或它们的某种组合来运行它更合适吗?