当前位置：文江博客话题详情

文件上传：下载时的用户安全

发布于 2024-11-05 21:17:16 字数 370 浏览 1 评论 0原文

我正在尝试在客户端和用户之间创建安全的文件传输，通过该传输我让客户端上传文件，然后单击他们希望与用户共享的文件。

当客户端将 url 传递给用户时，我的问题就出现了（该 url 存储在数据库中） 即：http://www.example.com/files/my- new-file.pdf

因此，用户单击该 URL 现在变得不安全，因为从技术上讲任何人都可以下载该文件。我如何才能使该文件只能由指定用户下载。

我希望这对我正在尝试做的事情有意义，并试图确保这些文件是安全的。任何想法将不胜感激。

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

寂寞花火° 2024-11-12 21:17:16

您应该使用 PHP 页面来控制对资源的访问，而不是让 /files/ 目录直接通过 Web 服务器提供内容。

例如，一个简单的 PHP 页面可以从文件系统读取文件并提供该文件，以便将其下载到浏览器。

http://www.higherpass.com/php/Tutorials/File-Download-安全性/

您需要确保：

只能下载有效的文件
该请求来自允许访问所请求文件的有效的经过身份验证的用户

该 URL 中的简单示例很容易受到文件参数中目录遍历的攻击。您应该验证传递给 PHP 脚本的任何文件名，以防止“../..”类型的攻击。这实际上可能会变得相当复杂。

可能对您有用的是拥有一个令牌系统，其中文件由唯一的、复杂的、随机的令牌引用。数据库存储文件系统上的实际文件位置，当收到 /download.php?token=blah... 等请求时，您会查找 a) 由标记“blah”引用的文件的位置，以及 b)允许调用用户的会话访问该文件。如果一切顺利，则将文件提供给用户，否则将引发错误并记录非法访问。

回复收藏 0 原文