【问题标题】:Possible Security/Privacy Threats with 'Content Disposition'“内容处置”可能带来的安全/隐私威胁
【发布时间】:2015-07-05 23:11:39
【问题描述】:

我记得有些博客说响应头Content-Disposition 可能会造成安全威胁,并且用户的隐私很容易受到攻击。我还记得它指出标题不是HTTP Specs 的一部分,但我只是找不到博客或任何合适的文章来说明为什么这样说?

请提供一个简单的代码示例来演示。

【问题讨论】:

    标签: http-headers content-disposition


    【解决方案1】:

    Content-Disposition 是一个 HTTP 标头字段;请查阅 IANA 标头字段注册表以了解定义它的 RFC(并且,提示:该 RFC 包含一个名为“安全注意事项”的部分)。

    【讨论】:

    • 请使用相关链接更新您的答案,对于像我这样的人来说,如果您可以提供一些示例/简约/演示 javaScript 代码,会更好更快地理解。
    • a) 在网络上搜索“IANA 标头字段注册表”,您会找到 iana.org/assignments/message-headers/message-headers.xhtml>,b) 我看不出这与 JS 有什么关系。
    • a) 我以前看过那个链接,但这并没有让我知道参数“文件名或文件名*”如何侵犯用户的隐私? b)其次,如果我寻求仅与 JS 相关的解决方案,我很抱歉,因为我认为他们可能会注入一些 JS 代码作为文件内容的一部分,这可能会窃取用户的任何私人/安全信息。无论如何,我也对 JS 以外的任何示例解决方案持开放态度。
    猜你喜欢
    • 2013-10-30
    • 2012-06-19
    • 2021-01-31
    • 1970-01-01
    相关资源
    最近更新 更多