AnsweredAssumed Answered

Interdire les fichiers HTML

Question asked by le12epilote on May 21, 2010
Latest reply on May 21, 2010 by le12epilote
Bonjour,

J'écris un deuxième post pour cette question différente de la précédente.

Alfresco permet la création via l'interface web de fichiers HTML. Il est également possible de les uploader, via l'interface web ou tout autre interface (CIFS/SMB, FTP, WebDav, etc).

Or, lorsque l'on clique sur "View in browser", le fichier HTML est interprété par le navigateur. Si le fichier contient du code Javascript, celui-ci est interprété.

Je considère que c'est un vecteur d'attaque important. Il serait possible ainsi de récupérer les cookies de l'utilisateur consultant le document HTML, ou tout autre attaque XSS.

Je cherche donc des solutions pour interdire la création ou l'upload de fichiers HTML, et ce par quelqu'interface que ce soit.

J'envisageai de créer un règle qui
- Convertirai en PDF
- Déplacerait le fichier vers un répertoire dont personne n'a l'accès / Effacerai le fichier HTML original

Avez-vous d'autres solutions ou d'autres propositions ?

Merci d'avance !

Outcomes