安全文件下载
我想要一个文件夹,叫它docs,其中包含登录用户可以下载的文档。这些都有非常敏感的信息。如何最好地保护文件夹。我来自PHP背景,因此想知道是否忽略了任何内容。
我将使用.htaccess保护该文件夹,并且当用户单击“下载”时,他们将永远不会显示该文件夹。下载是通过php强制删除它们的文件夹名称。
当然,为了保护用户区域,我正在所有输入字段上进行卫生和验证,并注意SQLInjections。使用SSL连接。关闭所有的PHP警告。安全区域使用SESSION变量来控制访问并重新验证用户以执行特殊任务,例如更改密码。加上10分钟的超时功能,此后用户必须重新输入详细信息。
我正在尝试尽可能详尽,以便任何建议,无论多么小,都将受到欢迎。
问题答案:
将文件放在webroot之外。然后使用PHP通过脚本传递文件。这样,任何人都无法直接链接到文件并绕过控件。(自然地,请确保仅在验证用户具有检索该文件的权限之后执行此操作的脚本)。
示例PHP:
<?php
if (!isset($_SESSION['authenticated'])) {
exit;
}
$file = '/path/to/file/outside/www/secret.pdf';
header('Content-Description: File Transfer');
header('Content-Type: application/octet-stream');
header('Content-Disposition: attachment; filename=' . basename($file));
header('Content-Transfer-Encoding: binary');
header('Expires: 0');
header('Cache-Control: must-revalidate, post-check=0, pre-check=0');
header('Pragma: public');
header('Content-Length: ' . filesize($file));
ob_clean();
flush();
readfile($file);
exit;
?>
-
文件安全卫士是一款运行于Windows操作系统上的文件保护系统软件。其保护原理是在操作系统上增加一个内核驱动程序对用户执行的软件的文件操作进行实 时监控,按照一定的规则对一些系统文件和用户资料进行保护。该软件的组成包括一个运行于内核级的驱动程序和一个运行于用户级的控制界面。 自定义文件保护规则 拦截非法删除,修改和创建文件。
-
SELinux 管理过程中,进程是否可以正确地访问文件资源,取决于它们的安全上下文。进程和文件都有自己的安全上下文,SELinux 会为进程和文件添加安全信息标签,比如 SELinux 用户、角色、类型、类别等,当运行 SELinux 后,所有这些信息都将作为访问控制的依据。 首先,通过一个实例看看如何查看文件和目录的安全上下文,执行命令如下: [root@localhost ~]# ls -Z
-
Oracle GSSAPI Java示例和各种SPNEGO/GSSAPI IETF RFC表明,GSS启动器(客户端)和接收器(服务器)都应该有一个循环来建立安全上下文,并且客户端可能需要在建立安全上下文之前使用GSS令牌进行多次传递。 > Oracle GSSAPI示例:https://docs.oracle.com/javase/8/docs/technotes/guides/security
-
问题内容: 我正在使用32位Oracle Java 1.6.0在x86_64 CentOS 5.7上运行tomcat 5.5。 Tomcat使用的JVM进程具有6421 pid。Tomcat运行正常。 运行时失败,并显示: 为了获得任何合理的输出,我需要使用force选项: 该 问题 是: 错误消息 “知名文件不安全” 是什么意思? 什么是“知名”文件? 为什么/何时在没有强制选项的情况下命令不起
-
配置文件(.yml)用于使用Dropwizard(0.9.2-最新版本)开发的rest api。api所需的大部分凭证(如数据库密码、密钥等)都存储在配置文件中。 我们已经根据在dropwizard配置参考中找到的参考中提到的项目实现了大部分内容。 问题很清楚。它有多安全(将这些信息以纯文本形式存储在配置文件中)。)?如果不是,正确的做法是什么?
-
TLDR:这是一个关于从及其相应的返回的URL的问题。它询问的主要作用和功能是什么,以及是否需要根据安全规则公开可用的文件。 null null null null