我正在制作一个新闻通讯编辑器，它将允许文件上传(新闻通讯的发件人可以将文件上传到将在电子邮件中链接到的服务器)。

该站点的设置使得Servlet实际上仅执行/do URI，因此这不会带来很大的安全风险，但是有人告诉我将.jsp，.php，.asp，.aspx，.exe列入黑名单， .com和.bat。这并不能使我成为一个全面的黑名单，而且我给人的印象是，黑名单不是一个好政策。

另一方面，白名单将长达数十个。识别允许/不允许的扩展名的正确方法是什么？还是仅允许任何内容并通过病毒扫描程序运行它们，或者将它们组合使用，是否更合适？

是的。

黑名单和白名单均被轻易规避，仅造成管理上的痛苦，并且不提供任何安全性。