Сейчас я загружаю и отображаю файлы, используя C # / Angular, выполняя следующие действия:
- пользователь загружает файл, полученный C #.
- Элементарная проверка безопасности: Подтвержден правильный тип файла (разрешены только файлы .txt).
- C # имеет жестко заданный путь к физической папке на моем веб-сервере (автоматически генерируемое имя файла), куда он помещает файл.
- Это имя файла хранится в таблице базы данных вместе с именем пользователя, который его загрузил.
- При просмотре файлов я отправляю имя файла на мой угловой интерфейс.Угловой интерфейс использует виртуальный каталог (в IIS), который ссылается на жестко закодированное имя папки c #.
<img src="VIRTUALFOLDER\filename">
Обратите внимание, что виртуальная папка находится вне каталога wwwroot веб-сайта, и пользователи IIS имеют разрешения на запись в нее.Есть ли какие-либо проблемы безопасности с тем, что я сделал?