我讀this artcile上的文件上傳安全,但現在看來,我上傳的有效PDF被授予訪問禁止後實施這個htaccess頂部提到的其他安全方法:文件安全使用htaccess阻止普通的pdf文件
deny from all
<Files ~ "^\w+\.(gif|jpe?g|png|pdf|doc|docx|txt|rtf|ppt|pptx|xls|mp4|mov|mp3|mpg|mpeg)$">
order deny,allow
allow from all
</Files>
文件名看起來是這樣的: 公司APV-A4-Solarpanels_ABC-RH.pdf
因爲htaccess的是爲了防止雙倍擴展攻擊,如果我理解正確的話應該是罰款。希望有人能幫助!
_doubled extension attack_(這只是Microsoft Windows用戶使用_Hide已知文件類型選項_ON_時出現的一個問題,它是一個選項,我總是關閉_OFF_)意味着一個名爲OpenMe.pdf.exe的文件作爲「OpenMe.pdf」)或類似的正則表達式不匹配的用戶。 - 爲什麼要保護Windows用戶不受Microsoft創建的問題的困擾? – 2012-03-03 09:28:27
我認爲這篇文章解釋得很好,該MIME類型可以被欺騙,這也適用於Apache,這意味着PHP腳本可能被嵌入到圖像中,例如... – scott 2012-03-04 10:32:12