继续讨论 允许 HTML 上传是否安全?:
帖子中的回复是“你为什么要这样做?” 我有一个答案。
我们的论坛致力于开发网页游戏。我希望我们的用户能够通过论坛相互分发他们的游戏。(但前提是 不会 导致 XSS 攻击。)
只要上传的 HTML 文件始终具有“Content-Disposition: attachment”(正如它们似乎确实如此),我就不知道这会启用任何 XSS 攻击,甚至是一种新颖的钓鱼攻击。指向 HTML 文件的链接将强制下载它,而不是直接在论坛网站上打开。
(我注意到 Gmail 允许用户下载 HTML 文件附件;这似乎没问题。)
当然,钓鱼攻击 可以 非常简单。今天,任何 TL1 用户都可以直接给论坛用户发送私信,说:“你好,我是这个论坛的管理员。请把你的密码发给我。” 同样,他们已经可以在 evil.example.com 上创建一个看起来与论坛登录页面完全相同的网站,并试图诱骗用户点击该链接并在此处输入密码。
我猜他们 也 可以尝试使用附件来做到这一点,说:“你好,我负责这个论坛,请下载这个文件并打开它,好吗?” 而该文件可能包含论坛登录页面的模拟图。
但从钓鱼的角度来看,下载一个 HTML 文件并双击它,并不会比允许用户点击指向恶意网站的链接更危险。而且,由于它更复杂,它可能会欺骗比发送钓鱼网站链接(传统方式)更少的用户。
那么,这里是否存在 XSS 风险?或者我不知道的微妙的钓鱼攻击?