我正在创建一个在线HTML编辑器,我想知道是否可以伪造文件扩展名。
因此,发生的事情是用户可以创建一个文件并选择天气,该文件应该是.html,.css或.js文件,然后他们将进入代码编辑器,而无需保存到数据库中。问题出在我具有的实时预览功能中。与其在服务器上创建文件,不如我只是从数据库中获取他们编写的代码,因此访问用户文件的URL类似于http://novuta.com/p/files/code.php?watermelon=23和它将从ID为23的数据库中提取代码,非常简单。
但是...如果用户在两个文件之间创建链接,例如
<link rel = "stylesheet" type = "text/css" href = "http://www.novuta.com/p/files/code.php?watermelon=23">
链接会很好,但会以平面文本而不是.css文件的形式出现在浏览器中。
我不确定,但是可以使用.htaccess来解决此问题,但是文件的扩展名是用户选择的。
这是我的第一个问题,对不起,如果不是最好的
您可以Content-Type
在渲染CSS的php文件中设置适当的值,如下所示:
<?php
header("Content-Type: text/css");
header("X-Content-Type-Options: nosniff");
//your css code
?>
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句