将 javascript 图像上传器添加到 .NET 网站 - 安全问题

Question

我有一个基于 ASP.NET 和 C# 构建的网站。该网站的要求之一是允许用户在所见即所得类型的编辑器中输入文本以及上传图像。

我开始使用 .NET HTMLEditor 进行开发，一开始我很高兴。在花了几个小时尝试向控件添加图像上传器按钮后，我放弃了该控件。

相反，我现在使用 obout HTMLEditor，它工作得很好。它有一个图像上传器，我可以动态设置保存文件的位置，这很棒。现在，图像进入网站的一个子文件夹，我可以使用 IIS 部分锁定该子文件夹，以防止目录浏览等操作。

因为我对 javascript 知之甚少，所以我担心的是潜在的安全问题。之前，当我使用 .NET 代码进行图像上传时，我能够执行一系列步骤。我假设 javascript 代码以与运行该站点的 IIS 应用程序池相同的用户权限运行。

最后，问题来了。在 .NET 站点上实现 javascript 图像上传器是否安全？我看到的唯一其他解决方案是编写一个 .NET 图像上传器，然后使用“图像浏览器”控件将图像插入 HTMLEditor，但这对于用户来说似乎更困难。

Answer 1

是的，javascript 代码总是在客户端执行。使用 javascript 无法访问您的网络服务器的任何资源。