0
我使用DOMPDF让Web应用程序的用户根据他们完全控制的HTML模板创建PDF发票。可以安全使用dompdf + file_get_contents吗?
我们已经在我们的服务器上禁用了file_get_contents(),但是如果我们想要的话可以启用它。
我的问题是,file_get_contents()是否可以安全地用于允许使用DOMPDF进行渲染(以及远程或本地?加载图像)?
这里有什么安全隐患?
A
回答
1
这里确实没有足够的信息来回答确定启用file_get_contents()在您的系统上是否安全。为此,我们必须知道系统上还有其他PHP应用程序和/或该功能是否在其他地方以及以何种方式使用。这就是说,如果你只考虑DOMPDF本身如何使用file_get_contents()你没有理由担心。 DOMPDF使用该函数来引入任何外部引用的文件(即css或图像)的内容。 DOMPDF明确了它如何处理任何内容,因此用户不应该因为内容是来自HTML文档的外部而不应该造成任何额外的伤害。
缺少利用file_get_contents()我不相信启用该函数会突然使DOMPDF不安全。典型的担忧是该功能的使用方式会使其容易受到恶意活动(如信息泄露攻击)的影响。这是DOMPDF过去容易受到的问题,已经解决了0.5.2(只要您的安全配置...例如,不要将DOMPDF_CHROOT设置为/)。
相关问题
- 1. ngx.shared.DICT可以安全使用吗?
- 2. JDK7现在可以安全使用吗?
- 3. AesCryptoServiceProvider.GenerateKey可以安全使用吗?
- 4. Malloc可以安全地使用nogil吗?
- 5. scrapy.conf可以安全使用吗?
- 6. 我可以使用file_get_contents加载css吗?
- 7. 如何安全地使用file_get_contents?
- 8. 网站可以完全安全吗?
- 9. sync.WaitGroup可以安全地重用吗?
- 10. 可以安全地应用补丁吗?
- 11. AES可以用于网站安全吗?
- 12. 如果我从CSRF安全,我可以安全使用垃圾邮件吗?
- 13. 可以在.NET Web应用程序中安全使用点吗?
- 14. 用户代码可以安全地使用struct padding吗?
- 15. 可以安全地使用MainActivity.this
- 16. 安全JARS可以加载Maven吗?
- 17. 共享变种可以安全吗?
- 18. 我可以在全球安装Gulp吗?
- 19. file_get_contents()可以在4xx上返回HTML吗?
- 20. WPF API可以在WCF服务中安全使用吗?
- 21. MonoTouch可以安全地与Core Audio一起使用吗?
- 22. Task.Delay可以安全地在ASP.NET中使用吗?
- 23. 使用Canvas时可以避免“操作不安全”吗?
- 24. Primefaces p:编辑器可以安全使用吗?
- 25. 我可以在access_control安全配置中使用路由吗?
- 26. 我可以安全地使用utf8mb4列的utf8连接吗?
- 27. 我可以使用cURL绕过我的服务器安全吗?
- 28. 当SynchronizationContext.Current为空时,我可以安全地使用Task.Wait吗?
- 29. 我可以使用ContextBoundObject创建线程安全对象吗?
- 30. 安全性可以使用硒硒网格和节点URL吗?
感谢您指出。我们担心在我们的服务器上打开file_get_contents(),因为这会给黑客提供一种启动信息披露攻击的方式,正如您所提到的。我们打开该功能的唯一原因是能够在DOMPDF中使用图像。你需要更多信息吗? – Jorre 2012-03-07 15:42:48
如果你没有在其他地方使用该功能,并且你正在使用dompdf 0.5.2或更高版本,那么我相信你应该没问题。如果您没有使用dompdf.php,您可以删除该文件以获得更高的安全性,因为这是早期版本dompdf中信息披露的来源。 – BrianS 2012-03-07 15:45:10
感谢Brian,如果黑客可能试图在我们的服务器上尝试使用某种PHP shell进行访问后使用该功能,那该如何呢?我们并没有在其他地方使用这个功能,而是担心在我们的机器上打开这个功能 – Jorre 2012-03-08 08:01:59