Я хочу позволить пользователям загружать все виды файлов и избегать угроз безопасности. Например, в настоящее время я не разрешаю загрузку файлов HTML, чтобы избежать каких-либо рисков для пользователей, загружающих файлы HTML с вредоносным кодом JavaScript.
Мне интересно, позволит ли использование X-Sendfile для обслуживания файлов, загруженных пользователями, из каталога хранилища, расположенного ВНЕ корня документа apache, позволить пользователям загружать файлы HTML и другой, возможно, вредоносный контент без риска для этого.
Я имею в виду, что если каталог хранения находится за пределами корневой папки документа, то есть загруженные файлы не могут обслуживаться непосредственно веб-сервером, означает ли это, что было бы более безопасно разрешить загрузку более широкого диапазона типов файлов?
Задача ещё не решена.
Других решений пока нет …