安全使用FileUpload控制asp.net的风险或担忧 - 以及建议的解决方案

Question

我必须创建一个实用程序，通过该实用程序，用户可以使用asp.net FileUpload Server控件上传singh或多个文件。

我在找安全方面的问题。我们脑海中存在哪些违反安全的要点。一个主要的问题是在我的脑海中相关病毒 - 意味着

1. 如何提示用户的病毒和终止上载操作
2. 上传操作过程中如何进行病毒扫描的文件

有可能会有几个安全风险。请与建议的解决方案讨论问题/风险。

对此最明显的答复。

在此先感谢

Answer 1

风险回避的事实，顽皮的人会上传的东西，可以在Web服务器计算机上执行，导致问题的所有中心。

防止恶意文件上传相关问题的实用方法是通过检查PostedFile.ContentType属性来限制服务器将接受的文件类型。这标识了MIME类型。最好排除诸如.exe之类的东西，然后当然在宏Office和Office自动生成的文件中存在问题，例如.doc和.xls。

这里有'如何'：How to restrict file type in FileUpload control