콘텐츠 처분 보안

Question

여기에 설정이 있습니다.

나는 Flask-WTF가있는 간단한 Flask 앱을 ​​가지고 있습니다.

사용자가 하나의 텍스트 필드 (filename)로 양식을 제출합니다.

양식은 CSRF 토큰이 (플라스크-WTF에서합니다.)

을 사용자가 양식을 제출하고 유효성을 검사 한 후 브라우저가 파일 이름으로 자동 생성 된 파일을 (즉, 서버 파일 시스템에서 파일이 아닌) 다운로드하는 경우 제출.

중요한 코드는 다음과 같습니다

response.headers['Content-Disposition'] = 'attachment; filename={0}.lsc'.format(filename) 

이 어떻게 안전합니까?

즉, Content-Disposition 헤더에 임의의 텍스트를 삽입 할 수 있다면 무엇을 할 수 있습니까?

Answer 1

그들은 서버에 아무것도 할 수 없으며 제대로 RFC 2616를 구현하는 경우는 클라이언트 측에서 안전합니다 :

수신 사용자 에이전트가 어떤 디렉토리 경로를 정보를 존중하지 말아야 filename-parm 매개 변수에 있습니다.이 매개 변수는 현재 HTTP 구현에 적용되는 유일한 매개 변수입니다. 파일 이름은 터미널 구성 요소로만 처리되어야합니다 (SHOULD).

그러나이 문제에 대한 자세한 내용은 RFC 2183: Communicating Presentation Information in Internet Messages: The Content-Disposition Header Field, 특히 보안 고려 사항 섹션을 참조하십시오. (RFC 2183은 메일 메시지에 적용되지만 HTTP 사용자 에이전트에도 동일하게 적용됩니다.)