避免在Spring MVC请求映射中使用URI中的浮点数来检测文件扩展名

避免在Spring MVC请求映射中使用URI中的浮点数来检测文件扩展名

在Spring framework 4.1.9和4.2.3中，Content-
Disposition标头已固定为使用“内联”类型，该类型仅建议文件下载名称，以防最终下载内容。它将不再强制“另存为”对话框。

还请注意，首先使用Content-
Disposition标头的原因是为了保护应用程序免受RFD攻击。这是一个非常复杂的问题，但是您可以在CVE-2015-5211报告中看到摘要。