Vấn đề chính liên quan đến tải lên tệp bộ lọc HTML là nó có thể dễ dàng bỏ qua. Các bộ lọc HTML được thiết kế để chặn một số loại tệp nhất định được tải lên, nhưng chúng có thể được bỏ qua bằng cách thay đổi phần mở rộng tệp hoặc bằng cách sử dụng một công cụ để chỉnh sửa tiêu đề tệp. Điều này có nghĩa là các tệp độc hại vẫn có thể được tải lên, có khả năng dẫn đến lỗ hổng bảo mật và vi phạm dữ liệu. Ngoài ra, các bộ lọc HTML không thể phát hiện mã độc hại trong tệp, vì vậy ngay cả khi tệp độc hại bị chặn tải lên, tệp đó vẫn có thể chứa mã độc hại có thể được thực thi trên máy chủ.
<form action="upload.php" method="post" enctype="multipart/form-data">
<input type="file" name="fileToUpload" id="fileToUpload" accept=".html">
<input type="submit" value="Upload HTML File" name="submit">
</form>
1. Dòng này tạo một biểu mẫu HTML với thuộc tính hành động được đặt thành “upload.php” và thuộc tính phương thức được đặt thành “post”, cũng như đặt thuộc tính enctype thành “multipart/form-data”:
Lọc và xác thực tầm quan trọng của tệp
Lọc và xác thực tầm quan trọng của tệp trong HTML là một quá trình đảm bảo rằng chỉ những tệp cần thiết mới được tải lên trang web. Điều này có thể được thực hiện bằng cách thiết lập các quy tắc và tham số cho các loại tệp có thể được tải lên, chẳng hạn như kích thước, loại hoặc phần mở rộng của tệp. Ngoài ra, các biểu mẫu HTML có thể được sử dụng để xác thực đầu vào của người dùng trước khi nó được gửi đến máy chủ. Điều này giúp đảm bảo rằng chỉ dữ liệu hợp lệ mới được chấp nhận và ngăn mã độc thực thi trên máy chủ. Cuối cùng, điều quan trọng là sử dụng các phương pháp an toàn để tải tệp lên, chẳng hạn như sử dụng giao thức HTTPS hoặc SFTP thay vì FTP.
Làm cách nào để hạn chế các loại tệp trong HTML
Tiêu chuẩn HTML không cung cấp cách hạn chế các loại tệp khi sử dụng yếu tố. Tuy nhiên, bạn có thể sử dụng JavaScript để kiểm tra loại tệp trước khi tệp được tải lên.
Để thực hiện việc này, bạn có thể sử dụng API FileReader để đọc nội dung của tệp và sau đó kiểm tra loại tệp. Nếu nó không phải là một trong những loại được phép, bạn có thể ngăn tải nó lên bằng cách gọi preventDefault() trên đối tượng sự kiện được chuyển vào trình xử lý thay đổi của bạn.
Bạn cũng có thể sử dụng thuộc tính chấp nhận của HTML5 trên phần tử để chỉ định loại tệp nào được phép. Điều này sẽ khiến hộp thoại dành riêng cho trình duyệt xuất hiện khi người dùng cố tải lên một tệp không ở một trong các định dạng được chấp nhận.
