Белый или черный список расширений файлов для загрузки?

Я делаю редактор информационных бюллетеней, который позволит загружать файлы (отправитель информационного бюллетеня может загружать файлы на сервер, на который будет ссылка в электронном письме).

Сайт настроен так, что только URI .do фактически выполняются / обрабатываются сервлетами, поэтому это не представляет большой угрозы безопасности, но мне сказали занести в черный список .jsp, .php, .asp, .aspx, .exe, .com и .bat. Это не кажется мне исчерпывающим черным списком, и у меня сложилось впечатление, что черные списки - плохая политика.

С другой стороны, белый список может состоять из нескольких десятков. Как правильно определить допустимые / запрещенные расширения? Или более правильным будет просто разрешить что-либо и запустить его с помощью антивирусного сканера или какой-либо их комбинации?