• ベストアンサー

ファイルアップロード・ダウンロードのセキュリティ

hanabutakoの回答

  • ベストアンサー
回答No.5

>>ファイルはプログラムがあるドメインとは別のドメインからダウンロードできたほうが良いです >この部分を理解できなかったのですが、JavaScriptはアップロードしたファイルが置いているドメインのものとして実行されてしまうから、「何をされてもいいような中身が空の、この用途専用のドメイン」を用意して、ファイルアップロード先はそこへ指定し、ダウンロードもそこからした方が良い、ということでしょうか? 大方おっしゃるとおりです。 細かいところを修正すると、アップロードに別のドメインを用意する必要はありませんが、ダウンロードについてはダウンロード専用のドメインにしておいたほうが良いということです。 お分かりの通り、same origin policyを考慮してのことです。

re97
質問者

お礼

回答ありがとうございました。 大変参考になりましたー

関連するQ&A

  • FLASH MXからのファイルアップロード

    FLASH MXにおいてJavaScriptのFORMタグを使用したファイルアップロードのように任意のファイルをサーバーにアップロードするようなことは可能なのでしょうか?サーバーサイドではPHPにてファイルを受け取ろうと思っています。FLASHから外部ファイルにアクセスできないために無理なのでしょうか?

  • ファイルのアップロードとダウンロードができるphp

    ホームページで訪問者が自分のファイルをアップロード・ダウンロードできるPHPファイルを作りたいです。 アップロード・ダウンロード時にパスワードを設定し、その人物だけしかダウンロードできないようにしたいです。 サーバは自宅なので容量・回線も大丈夫です。

    • 締切済み
    • PHP
  • FFFTPで、元々入っているファイルをダウンロードし、再びアップロード

    FFFTPで、元々入っているファイルをダウンロードし、再びアップロードすると文字化けしてしまいます。 主にphpのファイルがそうなってしまうんですが、何が原因でしょうか?

  • PHPのファイルアップロード・ダウンロードに関して

    PHPを用いて作成したいプログラムの内容は以下の通りです。 1. htmlフォームよりファイルをアップロード(テキストファイル) 2. アップロードされたファイルの中のデータに対して別のPHPプログラムを実行 3. 2の結果をhtmlにて表示、且つ結果ファイルのダウンロード です。 行き詰まっているのは、htmlから<input type="file">を用いて送信されたファイルはPHPでは$_FILESにそのファイルに関する情報が格納されると思いますが、別のPHPプログラムを実行する際にこのグローバル変数($_FILES)は使用できません。一度、move_uploaded_fileにてどこかのディレクトリに保存したファイルを、fopenなどで読み込んで実行させするしか方法はないでしょうか?すなわち、move_uploaded_fileなしでアップロードファイル内のデータを別のPHPプログラムで実行させる方法はないでしょうか? ダウンロードに関しても同様で、PHPプログラムの実行結果が納められた変数($XXXX)をダウンロードしたい場合、どこかのディレクトリに保存せずにこれをダウンロードさせる方法はないでしょうか? どうぞよろしくお願いします。

    • ベストアンサー
    • PHP
  • 大きなファイルのアップロード

    FC2ブログをやっているのですが、250KB以上の大きな動画のアップロードが出来ず、不便に思っています。(FC2ブログのファイルアップロードのページには「アップロードできるファイルは、250KBまでの拡張子jpg,gif,png,mid,swf,ico,mp3,html,txt,css,js,rdf」「banner.jpg,banner.png,banner.gifいずれかのファイル名でアップロードした場合外部URLから呼び出せる」とあります。) しかし、動画をzip形式にしてアップロードしていたり、avi形式のままダウンロードできるHPは数多く存在します。もちろん有料のレンタルサーバを利用すればいいのかもしれませんが、お金を使わないで大きなファイルのアップロードがしたいと考えています。ファイルを自分でアップロードした後、URLをブログに書き込み、それを観覧者がクリックして、動画が再生されるかダウンロードできる状態にしたいと思っています。 無料で大きなファイルのアップロードする方法を教えてください。

  • アップロードに関するセキュリティ

    有害ファイルのダウンロードを防ぐには セキュリティソフトやルーターを使用しますが、 ファイルのアップロードの読み取りを防ぐには何かありますか? 個人情報の送信にはSSL通信である程度防げますが、 ホームページにアップするFTPソフトのセキュリティはどうなのでしょうか? 第三者に読み取られる可能性は高いですか?

  • ファイルをアップロードする毎にサイズを取得することは可能でしょうか?

    PHPでファイルアップロードする場合に、 アップロード前に選択したファイルサイズを Javascriptで取得したいのですが可能でしょうか?

  • ファイルアップロードを教えて下さい。

    お世話になります。 php初心者です。 初歩的な質問になると思いますが… ローカルでファイルのアップロードのスクリプトの練習をしてるのですが上手く行きません。 アップロードしたファイル名が全て同じになります。 ディレクトリ構成として htdocs  ├128.php  └phpbook(ディレクトリ)    └128-2.php ■128.phpの中身 <form action="./phpbook/128-2.php" enctype="MULTIPART/FORM-DATA" method="POST"> ファイル:<input type="FILE" name="upfile"> <input type="submit" value="アップロード"> </form> ■128-2.phpの中身 <?php if(move_uploaded_file($_FILES['upfile']['tmp_name'], "./htdocs/phpbook/") ==FALSE){ print "失敗しました。"; }else{ print ($_FILES['upfile']['name']); print "をアップロードしました。"; } ?> アップロードは出来てるのですが、phpbookディレクト内にphpbookという拡張子が何もついてないファイルがアップロードされてしまいます。 よろしくお願いします。

    • ベストアンサー
    • PHP
  • ファイルのアップロードPGでのファイル名称変更

    いま、php にてファイルのアップロードのプログラムを作っています。 アップロードするときにそのファイルの名称を変更する方法はありますか? php もしくは javascript にてできればいいなと思っています。 なお、ファイルの名称はデータに登録されている変数の値を持ってきたいと思っています。 どうぞよろしくお願いいたします。

    • 締切済み
    • PHP
  • ファイルをダウンロードしただけでも

    あるサイトからzipファイルをダウンロードしたのですがそのファイルはウイルスに感染していたらしく、avastが反応してくれたおかげで ウイルスを未然に防ぐことができました。しかもそのzipファイルは拡張子が偽装されていて本当の拡張子はswfだっとと思います。もし このファイルをダウンロードしていたらダウンロードしただけでもウイルスに感染していたのでしょうか?またzipファイルにウイルスが感染していた場合、zipファイルをダウンロードしただけでウイルスに感染するということはあるのでしょうか?