L'impostazione più facile è quella di utilizzare cFos PNet con un solo utente. Per aumentare la sicurezza, dovresti creare un utente limitato ed eseguire cFos PNet con questo utente. Prima di offrire servizi pubblici, limita l'accesso ai tuoi drive e cartelle (utilizzando le impostazioni di sicurezza Windows), in modo che l'utente impersonato da cFos PNet possa accedere solamente alle sue cartelle pubbliche e private.
Puoi anche permettere a più utenti di accedere alle cartelle e sottocartelle di cFos PNet. Impostando la direttiva User in .htaccess, determini quale utente è impersonato quando la cartella corrispondente viene servita. Anche l'esecuzione di Javascript è effettuata in questo modo. Utilizza le impostazioni di sicurezza di Windows per restringere l'accesso di ogni utente ai soli file e cartelle del quale ha bisogno. Per esempio, è possibile includere file arbitrari utilizzando il meccanismo server side include (SSI) . Per permettere a un certo utente il solo accesso ai suoi files, devi lasciargli l'accesso solamente alla sua cartella.
Non utilizzare dati del client non interpretati. Per esempio, se le tue pagine web permettono input dall'utente mostrato in HTML, potresti voler ripulire prima l'input per prevenire l'inclusione di tags come <script> o <iframe> tra i risultati. Altrimenti ogni tipo di attachi multi-direzionali saranno possibili.
I nomi dei file dovrebbero essere sempre controllati, in modo che l'accesso sia ristretto alle sole cartelle pubbliche di cFos PNet. Puoi utilizzare a questo scopo le funzioni filename_ok e absolute_filename . Per esempio un attacker potrebbe provare a utilizzare nomi di file come: "..\..\..\windows\..." in modo tale che i tuoi scripts accedano alla cartella Windows , invece che a quella pubblica.
La migliore pratica è quella di eseguire tutto sotto un utente limitato e permettere l'accesso ai soli file di cFos PNet.