哪些常见文档类型可以包含可执行代码？

Question

我正在研究将所有文档与文档管理系统的可执行代码一起保存的请求的合理性。 这超出了将文件扩展名限制为简短列表并在保存文件之前通过诺顿防病毒软件运行文件的现有保护措施。

到目前为止 .doc(x)、.xls(x) 和.htm 都是常见的文档类型，我不能要求人们停止使用它们，并且其中可以包含可执行代码。

是否存在检查常见文档类型是否存在可执行代码的技术？

Answer 1

不幸的是，这可能是一场失败的游戏。

如果您确实想将文档完全限制为不能包含可执行代码的文档，那么最好编译允许的文档类型列表，而不是可拒绝的文档类型。 总会有带有可执行代码的新文件格式，甚至是添加了可执行代码的旧格式的新版本（例如 Kevin 提到的 PDF）。

确保安全的唯一方法是编制允许的格式列表，并随着时间的推移进行维护。

Answer 2

请注意，查看器客户端程序中的安全漏洞（例如缓冲区溢出漏洞）可能会被滥用，导致文件格式中的可执行代码通常不具有此类功能。

Answer 3

pdf就是其中之一。