• 29-01-2020, 16:44:42
    #1
    Arkadaşlar geliştirdiğim projede kullanıcı tanımlı eposta şablonu altyapısı kuruyorum. Kullanıcılar html dosyası ekliyor ve mail gönderirken şablon seçebiliyor. Ama html upload etme işi sıkıntı çıkarabilir. İmaj olsa kolaydı resize yapıyorsun ve imaj temiz oluyor. Ama html dosyası çok kritik. İçerisine javascript ekleyebilir, php kodu ekleyebilir. Aklıma gelmeyen başka türlü şekillerle sıkıntılar çıkarabilir. Bu gibi durumlara karşı nasıl önlemler almak lazım? PHP etiketini ve script etiketini silmek kolay. Bunlar haricinde daha önceden karşılaştığınız problemler varsa cevap olarak yazarsanız ben de ona göre daha güvenli bir sistem geliştirebilirim. Ayrıca bu tarz proje geliştiren başka arkadaşlar da faydalanabilir.
  • 29-01-2020, 20:28:04
    #2
    HTML dosyada php etiketi yazması bir sorun oluşturmaz. Yapacağınız şey blacklist kullanmak değil whitelist kullanmak olmalıdır.

    Yani gelen html dosyasından php etkiketlerini sileyim, javascript etiketlerini sileyim, onu sileyim, bunu sileyim diye uğraşırsanız mutlaka biryerde açık verirsiniz.

    Onun yerine kendiniz kullanılabilecek etiketleri seçip "bunlar haricinde herşeyi sil" demeniz gerekiyor
  • 30-01-2020, 12:00:33
    #3
    laravel yüklenen dosyanın mime type'ını otomatik belirliyor. html dosyası bile yüklense eğer için php veya asp etiketi varsa dosya türü olarak php veya asp veriyor. bu açıdan iyi. whitelist yöntemin değerlendireceğim.