首先:图片不应该提供预览、网页浏览、链接外部图片的方式。因为我可以自己写个程序动态显示图片,同时通过跨网站攻击,获得你的Cookie信息,从而冒名你。
前几天看了 ASP.NET:Community Sever :: Forums? ,它对文件上传的处理方法,就很有参考价值。用户可以在发帖的时候上传文件,但是用户要看这个上传的文件,比如下载到本地才能察看这个文件。这样,安全性就处理的比较好。
当然,如果用户上传的是一个木马程序,有人傻的下载到本地,并执行,那我们也没有办法。
另外,就是如何控制上传。也就是上传的具体制度。
是限制一天一个账户最多上传多少个?? or? 有上传图片卡才可以上传。这是个要考虑的问题。
如何实现下载到本地才能看文件可以参看以下文章:
http://blog.joycode.com/roboo/archive/2004/08/31/32098.aspx
http://www.cnblogs.com/bestcomy/archive/2004/08/10/31950.aspx
http://blog.joycode.com/uestc95/archive/2004/05/25/22494.aspx
http://support.microsoft.com/default.aspx?scid=kb;en-us;812406&Product=aspnet
我这里要补充的是,执行这些下载代码前,要加上一个信息提示,主要提示,这些文件是网友上传的,我们不保证它没有病毒和木马,另外如果有人发现上传的文件有政治问题、色情问题,请联系。。。
为了避免用户绕过这个链接,这里用一个Session 来记录,用户是不是阅读了这个说明,如果阅读了,就开始下载,否则显示阅读信息,只有阅读并接受以上条款,才可以开始下载。
所有的以上逻辑都在一个ASPX页面实现。用 Session 是为了方便的实现,一段时间内,用户只用看一次这个提示信息。当然如果每次都想看到,那用Cookie 更好。