我正在使用 Golang 编写一个网络应用程序,我现在正在编写文件上传部分,但我不知道最安全的方法是什么。
谁能给我一些信息吗?谢谢。
编辑:我的意思是如何防止用户将他们的文件上传到我想要的位置以外的位置。用户可以修改文件名以使其上传到特定目录。有什么办法可以预防吗?
我想问一下像Web shell这样的黑客技术是否适用于用Golang编写的Web应用程序?我认为不是,但我想检查一下我的想法是否正确。
最佳答案
您的服务器接收一个文件(例如通过表单发布),您的服务器代码负责将其保存到服务器选择的文件夹中。
客户端无法控制服务器将其保存的位置。客户端可以任意推荐一个文件夹,例如与另一个表单字段(或相对于某个约定或任意根的子文件夹),但客户端无法强制执行任何操作。
您应该注意的一件事是,如果您在服务器端获取发布的文件名,则不应按原样使用它,因为客户端可能会发送包含文件夹分隔符的文件名(例如 '/' 并且它可能包含表示父文件夹的序列(例如 "../..")。
您应该做的(最安全)是在服务器端生成一个名称。或者,如果您想使用客户端推荐的名称,则仅使用发送的文件名的最后部分(如果它也包含文件夹名称)。另外,如果您使用客户端发送的名称,您应该检查文件是否已经存在,以防止独立的客户端覆盖彼此的文件。或者最好是使用客户端唯一的文件夹名称,这样就没有机会覆盖彼此的文件。
您可以使用 path包来检查/操作文件名和路径。例如path.Base()仅返回路径的最后一部分(文件名)。您可以使用path.Join()连接文件夹和文件名。
例如,如果客户端通过表单帖子上传文件,您可以在服务器端处理它,如下所示:
func fileHandler(w http.ResponseWriter, r *http.Request) {
f, fh, err := r.FormFile("file")
if err != nil {
// File not submitted? Handle error
http.Error(w, "You must upload a file", http.StatusBadRequest)
return
}
// Save it:
// Here I use username as a unique client identifier
saveName := path.Join("path/to/uploaded/files/", username, path.Base(fh.Filename))
savef, err := os.Create(saveName)
if err != nil {
// Failed to create file on server, handle err
http.Error(w, "Failed to save file", http.StatusInternalServerError)
return
}
defer savef.Close()
io.Copy(savef, f)
fmt.Fprintln(w, "File saved successfully.")
}
关于http - 上传从浏览器(客户端)接收的文件最安全的方法是什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35029311/