在HTTP头上使用内容处置有哪些安全考虑?

休斯敦大学。。。他们在 RFC 2183 ,从答案链接到 你 链接到!

5. 安全注意事项

   任何时候用户交换数据都会涉及到安全问题。 虽然这些不能最小化,但这个备忘录也不会改变 这方面的现状,只有一种情况除外。

   由于此备忘录为发件人提供了建议文件名的方法, 接收MUA必须注意发送方的建议文件名 不代表危险。以Unix为例,有一些危险 将是:

   • 创建启动文件(例如“.login”)。

   • 创建或覆盖系统文件(例如,“/etc/passwd”)。

   • 覆盖任何现有文件。

   • 将可执行文件放入任何命令搜索路径 (例如,“~/bin/more”)。

   • 将文件发送到管道(例如“sh”)。

   通常,接收MUA不应将文件命名或放置在 它将在没有用户显式解释或执行的情况下得到解释或执行 启动操作。

   需要注意的是,这不是一个详尽的清单;它 仅作为一小部分示例。实现者必须 警惕目标系统的潜在危险。