Galvenā problēma, kas saistīta ar HTML filtra failu augšupielādi, ir tā, ka to var viegli apiet. HTML filtri ir paredzēti, lai bloķētu noteikta veida failu augšupielādi, taču tos var apiet, mainot faila paplašinājumu vai izmantojot rīku faila galvenes rediģēšanai. Tas nozīmē, ka joprojām var augšupielādēt ļaunprātīgus failus, kas var izraisīt drošības ievainojamības un datu pārkāpumus. Turklāt HTML filtri nespēj atklāt ļaunprātīgu kodu failā, tāpēc pat tad, ja ļaunprātīga faila augšupielāde ir bloķēta, tas joprojām var saturēt ļaunprātīgu kodu, kas var tikt izpildīts serverī.
<form action="upload.php" method="post" enctype="multipart/form-data">
<input type="file" name="fileToUpload" id="fileToUpload" accept=".html">
<input type="submit" value="Upload HTML File" name="submit">
</form>
1. Šajā rindā tiek izveidota HTML veidlapa, kuras darbības atribūts ir iestatīts uz “upload.php” un metodes atribūts ir iestatīts uz “post”, kā arī enctype atribūts tiek iestatīts uz “multipart/form-data”.
Faila svarīguma filtrēšana un apstiprināšana
Failu svarīguma filtrēšana un apstiprināšana HTML ir process, kas nodrošina, ka tīmekļa lapā tiek augšupielādēti tikai nepieciešamie faili. To var izdarīt, iestatot noteikumus un parametrus augšupielādējamo failu veidiem, piemēram, faila lielumu, veidu vai paplašinājumu. Turklāt HTML veidlapas var izmantot, lai pārbaudītu lietotāja ievadi pirms tās iesniegšanas serverim. Tas palīdz nodrošināt, ka tiek pieņemti tikai derīgi dati, un novērš ļaunprātīga koda izpildi serverī. Visbeidzot, ir svarīgi izmantot drošas metodes failu augšupielādei, piemēram, izmantojot HTTPS vai SFTP protokolus, nevis FTP.
Kā ierobežot failu tipus HTML
HTML standarts nenodrošina veidu, kā ierobežot failu tipus, izmantojot elements. Tomēr varat izmantot JavaScript, lai pārbaudītu faila tipu pirms tā augšupielādes.
Lai to izdarītu, varat izmantot FileReader API, lai izlasītu faila saturu un pēc tam pārbaudītu tā veidu. Ja tas nav viens no atļautajiem veidiem, varat novērst tā augšupielādi, izsaucot preventDefault() notikuma objektam, kas nodots jūsu izmaiņu apstrādātājam.
Varat arī izmantot HTML5 akceptēšanas atribūtu savā ierīcē elements, lai norādītu, kādi failu veidi ir atļauti. Tādējādi, kad lietotājs mēģinās augšupielādēt failu, kas nav nevienā no pieņemtajiem formātiem, tiks parādīts pārlūkprogrammai raksturīgs dialoglodziņš.
