JeecgBoot icon indicating copy to clipboard operation
JeecgBoot copied to clipboard

Published 20 hours ago verified publisher icon jeecgboot

文件上传、下载漏洞

Open xiaolinVV opened this issue 2 years ago • 1 comments

版本号:

v3.4.1

前端版本:vue3版?还是 vue2版?

vue2

问题描述:
  1. 后台文件上传接口并未对文件类型进行限制,有可能导致恶意脚本上传攻击风险。 建议增加可上传文件类型配置,只允许上传用户配置的文件类型
  2. filterChainDefinitionMap.put("/sys/common/static/**", "anon");//图片预览 &下载文件不限制token 导致有可能保密文件被下载,建议对文件下载接口增加 token 校验限制
截图&代码:

友情提示(为了提高issue处理效率):

  • 未按格式要求发帖,会被直接删掉;
  • 描述过于简单或模糊,导致无法处理的,会被直接删掉;
  • 请自己初判问题描述是否清楚,是否方便我们调查处理;
  • 针对问题请说明是Online在线功能(需说明用的主题模板),还是生成的代码功能;

xiaolinVV avatar Sep 21 '22 04:09 xiaolinVV

问题一,已修复

zhangdaiscott avatar Nov 02 '22 15:11 zhangdaiscott