&

admin

2025年8月7日 12:20 本文熱度 354

：這個工作流申請中的附件對應服務器里的名字是啥關系？不能反推回來是嗎？

沒有關系，隨機生成的，沒有規律，就是為了防止黑客猜到進行攻擊。

?：那有么有什么辦法在OA的提交界面通過JS腳本抓取到附件文件？

沒有辦法，是在提交后，后臺自動生成的文件名稱，就是為了避免黑客抓取到。

讀取時，臨時動態解析為二進制流輸出文件，中間完全不體現原始真正名稱，就是為了避免黑客抓到真正名稱，進行各種可能的潛在攻擊。

例如以前某個版本的IIS，如果黑客上傳了某種精心設計的圖片，就可以觸發圖片執行惡意腳本，前提是知道圖片的真正名稱。

文件上傳是黑客攻擊的重災區，必須嚴防死守。

現在所有附件都是臨時動態讀取，輸出為二進制流，過程中不體現原始名稱，也不是常規的文件直接下載。

該文章在 2025/8/7 12:27:24 編輯過