前端-接入层上传问题

接入层上传

上传问题

• 上传文件
• 再次访问上传的文件
• 上传的文件被当成程序解析

上传问题防护

• 限制上传后缀

let ext = path.extname(file.name);
if (ext === ".js") {
  throw new Error("不要上传坏文件");
}

可是能够经过改后缀名的方式，达到攻击的目的

• 文件类型检查

if (file.type != "image/png") {
  throw new Error("只容许PNG");
}

类型是从浏览器读取的，能够不通过浏览器上传文件，依然不安全

• 文件内容检查

var fileBuffer = fs.readerFileSync(file.path);
fileBuffer[0] == 0x5b;

可是能够经过在文件头部写入对应的内容

GIF89a
<?php

因此仍是不安全

• 程序输出
  • 比较保险，可是对性能可能会有很大的影响
• 权限控制-可写可执行互斥
  • 这还少一个原则，是安全的一个最低保障