Как запретить загрузку исполняемых файлов через input file?

Question

[fessss]

У input file есть атрибут accept, в который мы можем добавить расширения файлов, которые можно загружать.
А как можно указать расширения файлов, которые нельзя? Мне нужно, чтобы пользователь мог загрузить абсолютно любой файл, за исключением исполняемых.

Comments

[Пашенька]

В любом случае нужно валидировать пользовательский ввод на сервере, можете в принципе забить на валидацию клиент-сайда. Там и отсечёте ненужное.

[fessss]

Пашенька, к сожалению, нужно именно на фронте сделать проверку

[Антон]

fessss, ваши проверки на фронте легко вырежутся любым мало мальски знающим JS человеком

[Adamos]

Антон, более того - боты эти проверки вообще не заметят.

Answer 1

[Алексей Ярков]

Реализуйте проверку с помощью JavaScript

Comments

[fessss]

в какую сторону смотреть? я так предполагаю, что просто делать проверку на type загружаемого файла?

[Алексей Ярков]

fessss,

в какую сторону смотреть?

В сторону поиска готового решения конечно же ))
Как на javascript узнать, какие файлы выбраны в input type=file?

Answer 2

[Adamos]

Проверку можно делать, переделав загрузку файлов на ajax и разбирая, что там оказалось в инпуте.
Но делать это на фронте можно только для предупреждения пользователю "эй, чувак, ты какую-то фигню тут прикрепил". Реальной защиты такие проверки не обеспечивают, если эту форму будут атаковать - обойдутся не то что без обхода, но и вообще без браузера, в котором оно могло бы сработать.