gpt4 book ai didi

coldfusion - CfContent 限制在一个文件夹中

转载 作者:行者123 更新时间:2023-12-03 12:27:25 25 4
gpt4 key购买 nike

该应用程序将每日报告保存在共享路径中。我们的应用程序生成将其链接到 excel 的 URL,例如

http://application/ExcelTask/Index.cfm?type=Report&fileName=Report_Mar2014.xlsx

cfm 代码为
<cfif FileExists("#filePath#")> 
<cfheader name="Content-Disposition" value="inline; filename=""#URL.fileName#""">
<cfcontent type="application/vnd.ms-excel" file="#filePath#">
</cfif>

我们发现如果用户知道我们的目录结构,可以使用 URL 注入(inject)下载 cfm 文件,例如
http://application/ExcelTask/Index.cfm?type=../ExcelTask&fileName=Index.cfm

我可以添加一个条件,只允许 xls 和 xlsx 类型的文件,但这看起来像 B 计划。

任何想法如何限制文件夹访问?

最佳答案

使用基本的数据清理技能来清理和验证您的 URL.typeURL.filename .

  • 一些 replaceAll 代码来消除 ../ , 或
  • 试试 isValid("regex", some regex pattern...)

  • 您还可以针对 session 验证当前登录的用户是否有权查看/下载文件以获得额外保护。

    关于coldfusion - CfContent 限制在一个文件夹中,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/22676078/

    25 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com