Hlavním problémem souvisejícím s nahráváním souboru s filtrem HTML je to, že jej lze snadno obejít. Filtry HTML jsou navrženy tak, aby blokovaly odesílání určitých typů souborů, ale lze je obejít změnou přípony souboru nebo pomocí nástroje pro úpravu záhlaví souboru. To znamená, že škodlivé soubory lze stále nahrávat, což může vést k bezpečnostním chybám a narušení dat. Filtry HTML navíc nejsou schopny detekovat škodlivý kód v souboru, takže i když je nahrání škodlivého souboru zablokováno, může stále obsahovat škodlivý kód, který by mohl být spuštěn na serveru.
<form action="upload.php" method="post" enctype="multipart/form-data">
<input type="file" name="fileToUpload" id="fileToUpload" accept=".html">
<input type="submit" value="Upload HTML File" name="submit">
</form>
1. Tento řádek vytvoří HTML formulář s atributem action nastaveným na „upload.php“ a atributem method nastaveným na „post“ a také s nastavením atributu enctype na „multipart/form-data“:
Filtrování a ověřování důležitosti souboru
Filtrování a ověřování důležitosti souborů v HTML je proces, který zajišťuje, že na webovou stránku jsou nahrány pouze nezbytné soubory. Toho lze dosáhnout nastavením pravidel a parametrů pro typy souborů, které lze nahrát, jako je velikost, typ nebo přípona souboru. Formuláře HTML lze navíc použít k ověření uživatelského vstupu před jeho odesláním na server. To pomáhá zajistit, že jsou přijímána pouze platná data, a zabraňuje spuštění škodlivého kódu na serveru. Nakonec je důležité používat bezpečné metody pro nahrávání souborů, jako je použití protokolů HTTPS nebo SFTP namísto FTP.
Jak omezím typy souborů v HTML
Standard HTML neposkytuje způsob, jak omezit typy souborů při použití živel. Můžete však použít JavaScript ke kontrole typu souboru před jeho nahráním.
K tomu můžete použít FileReader API ke čtení obsahu souboru a následné kontrole jeho typu. Pokud to není jeden z povolených typů, můžete zabránit jeho nahrání voláním preventDefault() u objektu události předávaného do vašeho obslužného programu změn.
Můžete také použít atribut HTML5 přijmout na svém prvek určující, které typy souborů jsou povoleny. To způsobí, že se zobrazí dialogové okno specifické pro prohlížeč, když se uživatel pokusí nahrát soubor, který není v jednom z akceptovaných formátů.
