保存 .xlsx 或 pdf 上传是否安全？-解网

问：

我有一个网页，它接受用户上传的xlsx和pdf格式，然后将它们保存在“uploads”文件夹中。我想知道上传内容是否存在任何可能危及我的服务器安全的安全问题（病毒、黑客等），如果有，我该如何解决这个问题。

我正在使用 mysql 和 nodejs。

谢谢

MySQL 节点 .js 安全性

评论

0赞 Ivar 8/29/2022

cheatsheetseries.owasp.org/cheatsheets/......

1赞 Akina 8/29/2022

要破坏您的服务器，必须执行上传文件中的代码。如果你不执行它，那么没有任何问题。

1赞 IT goldman 8/29/2022

如果你确实执行了它，excel 对于执行脚本的能力会更加危险。

0赞 8/29/2022

是的，我需要阅读 excel 来检索信息。我想这可能很危险，我该如何保护我的服务器免受它的侵害？

0赞 Bostwick 9/3/2022

呈现的 PDF 内容可以做各种事情，例如调用远程 URL、加载字体、显示富媒体内容等等，允许宏的 Excel 文件允许人们运行自定义代码。安全是关于减少你的责任，消除责任会阻止人们做任何事情。

答：

1赞 Bostwick 9/3/2022 #1

您需要检查您的内容安全策略以确保，您可能需要审核/滥用、文件安全控制，并且还需要注意用户上传文件的方式。这个问题可以说是非常宽泛的。

也就是说，托管用户提供的文件会带来很多问题。你可能应该进行安全审计，确保你可以追踪谁在上传，并了解允许人们在服务器端发布内容的单位经济效益。

由于这个问题很宽泛，很难给出更好的答案。

上一个：Node.JS - URL 参数中的 SQL 注入？

下一个：保护 url 不被拦截