Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Microsoft TechNet: Como bloquear a assinatura de carregamento de arquivos de formulário HTML

Publicado em: 15 de março de 2006

Introdução

Os formulários HTML em uma página da Web permitem a coleta de informações do usuário. O RFC 1867 define várias extensões que permitem que os usuários enviem arquivos com formulários HTML. Normalmente, os formulários são processados de forma que os arquivos enviados sejam carregados e armazenados no disco do servidor Web.

O RFC estende os tipos de entrada e os atributos necessários a um recurso de carregamento de arquivo da seguinte forma:

  • Adiciona uma opção FILE aos atributos TYPE da marca HTML INPUT.

  • Permite um atributo ACCEPT para a marca INPUT, que consiste em uma lista de tipos de mídia ou padrões de tipos para a entrada.

  • Define um novo tipo MIME: multipart/form-data e especifica o comportamento de agentes de usuário HTML ao interpretar um formulário com ENCTYPE="multipart/form-data" e/ou marcas <INPUT type="file">.

Por exemplo, o autor de um formulário HTML pode usar o seguinte para solicitar um ou mais arquivos de um usuário (exemplo do RFC).

FORM ENCTYPE="multipart/form-data" ACTION="_URL_" METHOD=POST>
  File to process: <INPUT NAME="userfile1" TYPE="file">
  <INPUT TYPE="submit" VALUE="Send File">
  </FORM>

Para obter informações mais detalhadas, consulte RFC 1867: Forms-based File Upload in HTML (em inglês).

Normalmente, quando um navegador encontra uma marca INPUT do tipo FILE, ele permite que os usuários especifiquem um arquivo e fornece um botão Procurar para que seja possível selecionar o arquivo. Quando o formulário é enviado, o conteúdo do arquivo é incluído nos dados enviados, conforme definido pela especificação do tipo de dados multipart/form-data (formato de dados, codificação de dados).

Bloqueando carregamentos baseados em formulários HTML

Embora o envio de formulários HTML seja um recurso muito útil, ele pode gerar riscos quando os arquivos são passados da rede corporativa para a Internet. Para controlar a forma como os usuários internos estão carregando arquivos em formulários HTML, você pode configurar regras de acesso para bloquear esses carregamentos de arquivos.

Siga as seguintes etapas para bloquear a assinatura de carregamento de arquivos de formulários HTML:

  1. Na árvore do console do ISA Server Management, clique em Firewall Policy:

    No ISA Server 2004 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2004, expanda Arrays, expanda Nome_da_Matriz e clique em Firewall Policy.

    • No ISA Server 2004 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2004, expanda Nome_do_Servidor e clique em Firewall Policy.

  2. No painel de detalhes, clique na regra de acesso que permite o tráfego a partir da origem para a qual você deseja bloquear os carregamentos de arquivos de formulário HTML.

  3. Na guia Tasks, clique em Edit Selected Rule.

  4. Na guia Protocols, clique em Filtering e em Configure HTTP.

  5. Na guia Signatures, clique em Add.

    Configure HTTP policy for rule: signatures

  6. Na caixa de diálogo Signature, execute os procedimentos a seguir:

    • Em Name, especifique um nome para identificar a assinatura.

    • Em Description, digite uma descrição opcional para ajudá-lo a identificar a assinatura com facilidade.

    • Em Search in, clique na lista suspensa e selecione Request headers.

    • Em HTTP header, digite Content-Type:.

    • Em Signature, digite multipart/form-data.

  7. Clique em OK para fechar a caixa de diálogo Signature.

  8. Clique em OK para fechar a caixa de diálogo Configure HTTP policy for rule.

  9. Clique em Apply para aplicar a alteração na diretiva de firewall.

Informações adicionais

Para obter mais informações sobre outras assinaturas que você queira bloquear, consulte Common Application Signatures (em inglês) no site do Microsoft TechNet.

Para obter mais informações sobre regras de acesso de filtragem, consulte HTTP Filtering in ISA Server 2004 (em inglês) no site do Microsoft TechNet.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft