1.為了防止用戶上傳惡意的可執行文件和腳本,將文件上傳服務器作為免費的文件存儲服務器,將上傳的文件類型列入白名單(而不是黑名單),限制上傳文件的大小,並對上傳文件進行重命名,使攻擊者無法猜測上傳文件的訪問路徑,這壹點非常重要。
2.對於上傳的文件,不能簡單的通過後綴名稱來判斷文件類型,因為惡意攻擊可以改變文件類型。
將執行文件的後綴名稱改為圖片或其他後綴類型,以誘導用戶執行。因此,判斷文件類型需要
用更安全的方式。
3.許多類型的文件,前幾個字節的內容是固定的,因此,根據這些字節的內容,可以確定。
根據文件類型,這些字節也稱為幻數。(將文件轉換為二進制文件)