asp.net – 如果我不限制文件上传到网络服务器的最大请求长度,我
我正在为我的.net MVC 5网站制作相册功能,最近我遇到了
an issue where by default .net limits file uploads to 4 MB.
不想再次遇到这个错误,我很想把它设置为像1 GB这样大的东西.但这似乎是一个坏主意.我有3个问题: >如果我将文件上传最大长度设置为1 GB,我会打开哪些安全漏洞? 解决方法
消耗资源的DoS攻击更容易成功. 1GB可能很高,但如果您需要接受较大的文件,这可能是您可接受的风险.此设置取决于服务器具有的资源(特别是内存和磁盘大小)以及应用程序的要求. 是的,恶意用户可以发布许多小文件而不是一个大型文件 – 但这些单独的请求将与对服务器的合法请求一起排队.有可能服务器将在合法服务器之前完成恶意处理.例如,上传1GB的恶意用户可能会在处理该文件时阻塞某个线程,而1000个1兆字节文件导致的负载可能会在应用程序的处理过程中分散. 另一种攻击是DDoS攻击,可以同时将其视为多次DoS攻击.增加单个请求允许的最大长度可能意味着DDoS攻击成功,而正常的DoS攻击则不会,因为单个用户只有有限的可用带宽.也就是说,您可以让很多用户更容易发布大文件,而在每个用户的损坏数量受到单个文件大小限制之前.
如果只有一组有限的用户可以访问允许大文件上传的页面,那么这将限制任何攻击. 这应该有效,因为
是的,这适用于所有请求.如果您愿意在POST上接受大的请求大小,那么在GET上没有允许这样做的额外风险.唯一的优势在于入侵检测系统(IDS)应用程序级别,因为它能够将大型GET请求记录为可疑活动. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- asp.net-core – 运行kpm restore时无法找到Microsoft.AspN
- asp.net – 保护.net Web服务URL
- asp.net-mvc – 如何将我的视图模型绑定到jqGrid?
- ASP.NET – 上传大文件时如何显示错误页面(超过最大请求长度
- asp.net-core – 如何使用asp-for标签绑定数组?
- asp.net-mvc – 传递给Html.ActionLink时在模型上序列化ILi
- asp.net-mvc – 从ASP.NET MVC2升级到MVC3的原因
- ASP.NET Web API中除IQueryable之外的OData查询和类型
- asp.net-mvc – Pro ASP.Net MVC 3实体框架体育商店教程
- asp.net-mvc – 自动发布使用TFS和MSBuild构建,无需调试文件
- 单元测试传统ASP.NET Webforms应用程序
- asp.net-mvc – 在ASP.NET MVC 3中的子文件夹中添
- asp.net – MSCharts“没有找到HTTP请求类型”GE
- asp.net – 在谷歌地图和谷歌地球之间切换
- asp.net-mvc – 在stackoverflow.com上永不过期的
- asp.net-mvc-2 – EditorFor – 传入字典的模型项
- asp.net-mvc – ASP.NET MVC日历
- asp.net-mvc – Resharper 5:如何设置内联代码块
- asp.net – 你可以从请求变量确定时区吗?
- asp.net-mvc – 在新窗口中打开的DisplayFor Dat