Tach!

Vorab möchte ich mich mit dem Thema Sicherheit/Datenschutz in diesem Kontext auseinandersetzen.

1. Könnt Ihr mir Tipps geben, was ich beachten muss?

Das Upload-Verzeichnis sollte außerhalb des DocumentRoot liegen, damit nicht jemand Zeugs hochlädt und gleich vom Webserver ausführen lassen kann. Sollte das heutzutage immer noch nicht seitens des Providers gehen, so ist ein Wechsel dringend angeraten.

Sollen die Dateien sofort zum Download zur Verfügung stehen und du keine händische Prüfung vornehmen möchtest, ist zumindest eine Dateiendungsprüfung vorzunehmen und nur ein paar harmlose Endungen sollten gestattet werden.

2. Wie muss ich mir "cross domain file upload" vorstellen?

Das Script mit dem File-Upload-Formular (oder deinem Javascript-Aufsatz) kommt von Domain X und der Upload hat das Ziel Y. Moderne Browser weigern sich, weil man damit anderen Domains Zeug unterschieben kann. Davon unberührt sind Uploads, die irgendwelche maliziösen Programme direkt ausführen, ohne den Browser eines Anwenders zu bemühen.

Please note that all provided implementations allow cross-site file uploads. If you don't need that functionality, you should remove the code parts that set the "Access-Control-Allow" headers.

Mit diesem Header erlaubt der Server des Scripts dem Browser die angegebenen Domains als Ziel für den Datentransfer zu verwenden. Ansonsten sperren sich die Browser - zumindest jene, die diesen Sicherheitsmechanismus eingebaut haben. Andere und alle Nicht-Browser-Clients sind davon unberührt.

dedlfix.