T
theomega
Gast
Hallo Leute,
ich möchte es meinen Benutzern ermöglichen eie Art Avatar zu ihrem Benutzer hochzuladen. Die gesamte Anwendung ist ein Servlet (Templates mit Velocity). Ich habe die ganze Sache auch schon mit FileUpload aus den Commons realisiert. Funktioniert auch gut, nur habe ich Sicherheitsbedenken:
Bis jetzt prüfe ich anhand der ContentTypes des FileItems (von FileUpload erstellt), ob es sich um ein Bild handelt. Dachte eigentlich das es sicher ist, nur habe ich jetzt gelesen, dass das ganze ja vom CLient stammt, also problemlos gefälscht werden kann.
Ich habe zusätzlich noch einen Check der Dateiendung gebastelt, das bietet ein bischen zusätzliche Sicherheit, theoretisch ist es aber trotzdem möglich eine falsche Datei hochzuladen.
Wer hat mir einen Tipp, oder seh ich irgendwas falsch?
Gruß und Danke
TO
ich möchte es meinen Benutzern ermöglichen eie Art Avatar zu ihrem Benutzer hochzuladen. Die gesamte Anwendung ist ein Servlet (Templates mit Velocity). Ich habe die ganze Sache auch schon mit FileUpload aus den Commons realisiert. Funktioniert auch gut, nur habe ich Sicherheitsbedenken:
Bis jetzt prüfe ich anhand der ContentTypes des FileItems (von FileUpload erstellt), ob es sich um ein Bild handelt. Dachte eigentlich das es sicher ist, nur habe ich jetzt gelesen, dass das ganze ja vom CLient stammt, also problemlos gefälscht werden kann.
Ich habe zusätzlich noch einen Check der Dateiendung gebastelt, das bietet ein bischen zusätzliche Sicherheit, theoretisch ist es aber trotzdem möglich eine falsche Datei hochzuladen.
Wer hat mir einen Tipp, oder seh ich irgendwas falsch?
Gruß und Danke
TO