【前端安全】接入层上传问题
2019-04-10 17:34
513 查看
接入层上传问题
上传来自用户,会马上被用户访问
如果文件被当做文件解析,可能会造成问题。
如果是可以被执行的文件,可能会直接执行一些非法的操作。
上传问题:
- 上传文件
- 再次访问上传的文件
- 上传的文件被当成程序解析
const bodyParser = require('koa-body');
app.use(bodyParser({
multipart: true
}))
防御:
- 限制上传后缀
if(data.files) {
let file = data.files.img;
let ext = path.extname(file.name);
if(ext === 'js') {
throw new Error('别传js');
}
let filename = Date.now() + ext;
fs.readnameSync(file.path, './static/upload' + filename);
data.fields.content += '<img src="/uploadFile/" + filename/>'
data = data.fields;
}
- 文件类型检查
if(file.type != 'images/png') {
throw new Error('只允许png')
}
- 文件内容检查
每一种文件前面的几个buffer的内容都是固定的
var fileBuffer = fs.readFileSync(file.path); fileBuffer[0] == 0x5b;
- 程序输出
- 权限控制-可写可执行互斥
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 【前端安全】接入层注入问题
- 前端安全问题
- 前端在https请求的安全配置问题
- web前端安全机制问题全解析
- 前端上传图片遇到的问题
- 安全测试===8大前端安全问题(上)
- 前端安全问题:CSRF
- web前端安全机制问题全解析
- java-web文件上传下载,可解决多个安全访问问题
- Angular4实现图片上传预览路径不安全的问题解决
- 前端 安全 问题
- web 前端安全问题
- 安全测试===8大前端安全问题(下)
- web中上传附件的安全问题
- j2ee安全问题(springmvc xss 文件上传类型限制 resin banner修改)
- 图片上传安全性问题,根据ContentType (MIME) 判断其实不准确、不安全
- WEB前端 和 JAVA后台 关于头像上传功能实现中出现的ajax 404问题经验
- 前端上传组件Plupload使用以及IE下注意的问题
- 前端的安全问题?