【前端安全】接入层上传问题
2019-04-10 17:34
513 查看
接入层上传问题
上传来自用户,会马上被用户访问
如果文件被当做文件解析,可能会造成问题。
如果是可以被执行的文件,可能会直接执行一些非法的操作。
上传问题:
- 上传文件
- 再次访问上传的文件
- 上传的文件被当成程序解析
const bodyParser = require('koa-body'); app.use(bodyParser({ multipart: true }))
防御:
- 限制上传后缀
if(data.files) { let file = data.files.img; let ext = path.extname(file.name); if(ext === 'js') { throw new Error('别传js'); } let filename = Date.now() + ext; fs.readnameSync(file.path, './static/upload' + filename); data.fields.content += '<img src="/uploadFile/" + filename/>' data = data.fields; }
- 文件类型检查
if(file.type != 'images/png') { throw new Error('只允许png') }
- 文件内容检查
每一种文件前面的几个buffer的内容都是固定的
var fileBuffer = fs.readFileSync(file.path); fileBuffer[0] == 0x5b;
- 程序输出
- 权限控制-可写可执行互斥
相关文章推荐
- 【前端安全】接入层注入问题
- 前端安全问题
- 前端在https请求的安全配置问题
- web前端安全机制问题全解析
- 前端上传图片遇到的问题
- 安全测试===8大前端安全问题(上)
- 前端安全问题:CSRF
- web前端安全机制问题全解析
- java-web文件上传下载,可解决多个安全访问问题
- Angular4实现图片上传预览路径不安全的问题解决
- 前端 安全 问题
- web 前端安全问题
- 安全测试===8大前端安全问题(下)
- web中上传附件的安全问题
- j2ee安全问题(springmvc xss 文件上传类型限制 resin banner修改)
- 图片上传安全性问题,根据ContentType (MIME) 判断其实不准确、不安全
- WEB前端 和 JAVA后台 关于头像上传功能实现中出现的ajax 404问题经验
- 前端上传组件Plupload使用以及IE下注意的问题
- 前端的安全问题?