Glavna težava, povezana z nalaganjem datoteke filtra HTML, je, da ga je mogoče zlahka zaobiti. Filtri HTML so zasnovani tako, da blokirajo nalaganje določenih vrst datotek, vendar jih je mogoče zaobiti tako, da spremenite pripono datoteke ali uporabite orodje za urejanje glave datoteke. To pomeni, da je še vedno mogoče naložiti zlonamerne datoteke, kar lahko vodi do varnostnih ranljivosti in kršitev podatkov. Poleg tega filtri HTML ne morejo zaznati zlonamerne kode v datoteki, tako da tudi če je nalaganje zlonamerne datoteke blokirano, lahko še vedno vsebuje zlonamerno kodo, ki bi se lahko izvršila na strežniku.
<form action="upload.php" method="post" enctype="multipart/form-data">
<input type="file" name="fileToUpload" id="fileToUpload" accept=".html">
<input type="submit" value="Upload HTML File" name="submit">
</form>
1. Ta vrstica ustvari obrazec HTML z atributom dejanja, nastavljenim na »upload.php« in atributom metode, nastavljenim na »post«, ter nastavitvijo atributa enctype na »multipart/form-data«:
Filtriranje in preverjanje pomembnosti datoteke
Filtriranje in preverjanje pomembnosti datoteke v HTML je postopek, s katerim zagotovimo, da so na spletno stran naložene samo potrebne datoteke. To lahko storite tako, da nastavite pravila in parametre za vrste datotek, ki jih je mogoče naložiti, kot so velikost, vrsta ali pripona datoteke. Poleg tega je mogoče obrazce HTML uporabiti za preverjanje uporabniškega vnosa, preden se pošlje strežniku. To pomaga zagotoviti, da so sprejeti samo veljavni podatki, in preprečuje izvajanje zlonamerne kode na strežniku. Nazadnje je pomembno, da uporabljate varne metode za nalaganje datotek, kot je uporaba protokolov HTTPS ali SFTP namesto FTP.
Kako omejim vrste datotek v HTML
Standard HTML ne omogoča omejevanja vrst datotek pri uporabi element. Vendar pa lahko uporabite JavaScript za preverjanje vrste datoteke, preden se naloži.
Če želite to narediti, lahko uporabite FileReader API, da preberete vsebino datoteke in nato preverite njeno vrsto. Če ni ena od dovoljenih vrst, lahko preprečite njegovo nalaganje tako, da pokličete preventDefault() na objektu dogodka, posredovanem vašemu upravljalniku sprememb.
Uporabite lahko tudi atribut sprejema HTML5 na vašem element, da določite, katere vrste datotek so dovoljene. To bo povzročilo, da se prikaže pogovorno okno, specifično za brskalnik, ko uporabnik poskuša naložiti datoteko, ki ni v eni od sprejetih oblik zapisa.
