多部分表单直接提交到 URL

Question

我们有一个基于网络的应用程序，其中用户可以选择将文档/文件上传到我们的数据库中。在上传任何文档/文件之前，我们希望将文件发送给一些网站提供的免费在线病毒扫描，例如 http:// /virusscan.jotti.org/en，从他们那里获取扫描状态。只有当响应状态正常时，才应该允许上传到我们的数据库。

我什至尝试了以下给出的解决方案： lindaocta.com/?cat=20

我的问题是：

1) 如何在我的应用程序中直接将文档/文件发送到免费的在线病毒扫描程序网站而不将文档下载到我的服务器 。

2）现在的Web应用程序是使用AJAX开发的，因此可以在页面中逐步更新响应。如果我尝试阅读从免费在线病毒扫描程序网站返回的响应，这不是我所期望的。我该如何解决此类场景？

技术 操作系统：RedHat Linux ES5.0 Java 1.6 JSP 小服务程序 汤姆猫 v6.0.10

Answer 1

1) 您至少必须通过服务器代理请求，以便有机会检查病毒扫描程序的响应。如果客户直接向 AV 公司发布信息，您的 servlet 将被排除在循环之外，除非 AV 站点提供某种基于令牌的第三方验证系统。什么是免费 AV 网站？

2) 切勿在客户端（浏览器）处理任何安全业务逻辑，无论是通过 AJAX 还是任何其他方法。攻击者可以简单地修改 JavaScript 并伪造来自 AV 扫描仪站点的积极响应。

为什么您如此害怕将可能不安全的文件下载到您的服务器？只需将其上传到您创建的特殊非公开可浏览目录（其中没有其他程序正在查找配置文件），扫描病毒，如果不通过则将其删除。如果您从未尝试执行它，并且它没有覆盖某些配置文件或内核文件或其他内容，那么您可能已经做得足够了。