个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
我允许用户从我的应用程序下载文件。为此,我根据文件类型明确将“Content-Disposition”设置为“内联”或“附件”。现在这有点手册。因此,对于 pdf 文件,我将其设置为“内联”,但对于 html 文件,我将其设置为“附件”。
有没有办法根据文件类型自动决定express中“Content-Disposition”的值?
如果我不发送“Content-Disposition” header ,目前在我看来,该请求将被视为具有“Content-Disposition:inline”。这个观察是否正确,还是还有更多的内容?
如果默认情况下浏览器尝试执行/预览文件(基于第 2 点),当您允许下载可以执行 JavaScript 的 html 文件时,这对安全意味着什么?
最佳答案
Is there a way to automatically decide the value of "Content-Disposition" in express based on file type ?
您可以编写中间件来检查响应并修改它。
If I do not send a "Content-Disposition" header, it seems to me currently that the request is treated like it has "Content-Disposition: inline" . Is this observation correct, or is there something more to it?
参见MDN其中表示:“HTTP 上下文中的第一个参数是 inline(默认值,表示它可以显示在网页内,或作为网页显示)...”
If by default browser tries to execute/preview the files (based on point 2), what does it mean for security when you allow downloading html files which can execute javascript?
不会太多,除非您提供您(网站作者)不信任的 JavaScript。
如果您需要提供可能包含您不信任的 JavaScript 的 HTML 文档,则从不同的来源提供它们(使用同源策略对它们进行沙箱处理)和/或实现 Content Security Policy禁止他们执行 JavaScript。
关于javascript - 网络安全: What happens when Content-Disposition is not supplied?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/56892700/
26
4
0
在iOS开发中,保障应用的网络安全是一个非常重要的环节。以下是一些常见的网络安全措施及对应的示例代码: Swift版 1. 使用HTTPS 确保所有的网络请求使用HTTPS协议,以加密数据传输,
如何在 Java 中为椭圆曲线加密生成曲线点? 最佳答案 建议您考虑使用 bouncycastle java libary ,它支持椭圆曲线和 Java ME。在他们的 latest releases
关闭。这个问题是off-topic .它目前不接受答案。 想改善这个问题吗? Update the question所以它是 on-topic对于堆栈溢出。 11 年前关闭。 Improve this
因此,您总是会听到很多有关网站变得流行,然后遭到黑客攻击的故事。基本上,我将在几周内发布(作为唯一的程序员)一个网站。它是用 MVC2 制作的,将在 Azure 云上运行。 我只是想知道哪些类型的东西
我有一个登录页面 (welcome-page.jsp),它检查用户是否存在于数据库中。如果他提供的密码正确且类型正确,他将被重定向到一个页面。现在我想在发送数据时增加一些安全性。我是新来的...这是登
很难说出这里要问什么。这个问题模棱两可、含糊不清、不完整、过于宽泛或夸夸其谈,无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开,visit the help center . 关闭 1
我正在尝试通过具有多个源地址的 Terraform 为 Azure 中的网络安全组配置网络安全规则。 基于文档 https://www.terraform.io/docs/providers/azur
我正在开发一个从文本(TTS)生成音频并为用户提供速度/音高控制的播放器的项目。 我的问题与请求安全有关。 用户在我的网站注册时获得了 widget_id,他放了一些 js在他的网站上,而 api 在
我正在关注基于 spring 框架 3.2.4 的应用程序的本教程 http://springdiaries.blogspot.be/2012/12/web-security-preventing-c
我目前已经构建了一个系统来检查用户 IP、浏览器和随机字符串 cookie 以确定他是否是管理员。 在最坏的情况下,有人会窃取我的 cookie,使用与我相同的浏览器,并掩盖他的 IP 以显示为我的
TL;DR 通过网络策略来提升网络安全,可以极大降低了实现和维护的成本,同时对系统几乎没有影响。 尤其是基于 eBPF 技术的 Cilium,解决了内核扩展性不足的问题,从内核层面为工作负载
我允许用户从我的应用程序下载文件。为此,我根据文件类型明确将“Content-Disposition”设置为“内联”或“附件”。现在这有点手册。因此,对于 pdf 文件,我将其设置为“内联”,但对于
我有一个 MEAN 堆栈应用程序,带有类似 API 的 REST。我有两种用户类型:用户和管理员。为了让用户登录并保持 session ,我像这样使用 jsonwebtoken jwt(简化): co
我是一名优秀的程序员,十分优秀!