在Spring Framework 4.1.9和4.2.3中,Content- Disposition标头已固定为使用“内联”类型,该类型仅建议文件下载名称,以防最终下载内容。它不会再强制执行“另存为”对话框。
还请注意,首先使用Content- Disposition标头的原因是为了保护应用程序免受RFD攻击。这是一个非常复杂的问题,但是您可以在CVE-2015-5211报告中看到摘要。
避免在URI中使用浮点数的Spring MVC请求映射中的文件扩展名检测
在Spring Framework 4.1.9和4.2.3中,Content- Disposition标头已固定为使用“内联”类型,该类型仅建议文件下载名称,以防最终下载内容。它不会再强制执行“另存为”对话框。
还请注意,首先使用Content- Disposition标头的原因是为了保护应用程序免受RFD攻击。这是一个非常复杂的问题,但是您可以在CVE-2015-5211报告中看到摘要。