【前端安全】接入层上传问题

最新推荐文章于 2024-06-24 09:38:06 发布
最新推荐文章于 2024-06-24 09:38:06 发布
阅读量260 收藏
点赞数
分类专栏: 安全 文章标签: 安全 接入层
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_37021554/article/details/89189137
版权
本文探讨了在Web应用中上传文件可能带来的安全风险,如文件被不当解析执行非法操作。通过限制文件后缀、检查文件类型及内容,确保上传文件的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

接入层上传问题

上传来自用户,会马上被用户访问

如果文件被当做文件解析,可能会造成问题。

如果是可以被执行的文件,可能会直接执行一些非法的操作。

上传问题:

  1. 上传文件
  2. 再次访问上传的文件
  3. 上传的文件被当成程序解析
const bodyParser = require('koa-body');
app.use(bodyParser({
    multipart: true
}))

防御:

  1. 限制上传后缀
if(data.files) {
    let file = data.files.img;
    let ext = path.extname(file.name);
    if(ext === 'js') {
        throw new Error('别传js');
    }
    let filename = Date.now() + ext;
    fs.readnameSync(file.path, './static/upload' + filename);
    
    data.fields.content += '<img src="/uploadFile/" + filename/>'
    
    data = data.fields;
    
}
  1. 文件类型检查
if(file.type != 'images/png') {
    throw new Error('只允许png')
}
  1. 文件内容检查

每一种文件前面的几个buffer的内容都是固定的

var fileBuffer = fs.readFileSync(file.path);
fileBuffer[0] == 0x5b;
  1. 程序输出
  2. 权限控制-可写可执行互斥
iOS Swift开源项目
04-06
作者iWeslie,源码PokerCard,iOS Swift开源项目
超靓扁平化图标1000多个打包下载
05-16
win8,win10等扁平化图标,超好看,应该有1000多个,方便制作漂亮的ui
【设计师备】1888 枚扁平化丰富多种类型的 icon 图标打包
12-10 1796
Travel Real Estate Sports Communication Food Music Hotel and Restaurant Electronics 资源下载 链接: https://pan.baidu.com/s/1eRZWA2m 密码: 扫描下方二维
十款不容错过的Swift iOS开源项目及介绍
weixin_30457551的博客
06-28 229
1.十款不容错过的Swift iOS开源项目. http://www.youkuaiyun.com/article/2014-10-16/2822083-swift-ios-open-source-projects 2.缓存框架 Haneke: Haneke是一款使用Swift语言编写的,轻量级的iOS通用缓存。它为UIImage、NSData、JSON和String提供记忆和LRU...
十款不容错过的Swift iOS开源项目
Vicky的移动开发专栏
01-16 694
原创: http://www.youkuaiyun.com/article/2014-10-14/2822083-swift-ios-open-source-projects 摘要:相较Objective-C,Swift语言要更为简单和强大。但纵观Swift教程,会发现讲解的比较广泛,并未深入涉及代码学习。为了让大家的开发工作更易上手,作者从几百个项目中选出十个不错的开源项目,希望可为大家提供帮助。
sketch(四)——扁平化图标
The One Who's at the Front
03-27 712
sketch制作扁平图标——邮箱 目标图 开始制作 新建画布 颜色:#A09C9B ,大小自定 创建矩形 颜色:#E4E0DF,大小:200*120(黄金分割比为0.618) 调整矩形到如下图所示 (调整到中间即可) 新建一个三角形 大小为200*60,颜色为#FFFFFF ,这个三角形刚好可以填补上面矩形空白的三角位置,将其倒置过来即可看效果; 新建一...
SwiftiOS开发:十大开源项目
"这篇文章主要介绍了十款优秀的Swift iOS开源项目,旨在帮助iOS开发者深入学习Swift语言和提升开发效率。这些项目涵盖了网络通信、数学运算、JSON处理、函数式编程辅助工具以及任务调度等多个方面,适合不同层次的...
Swift开源项目视频播放器,支持边下边播、预加载、全屏转场和自定义控制层.zip
03-06
这个名为"Swift开源项目视频播放器,支持边下边播、预加载、全屏转场和自定义控制层"的压缩包提供了一个解决方案,它使用Swift编程语言实现,具有丰富的功能特性。 首先,我们要理解什么是边下边播(Streaming)。...
OBJC中国-Swift 开发者备Tips_Swift_iOS
09-19
3. Cocoa Touch框架:Swift开发者需要熟悉UIKit或SwiftUI,它们是构建iOS应用程序的基础。 4. AppDelegate:Swift中的AppDelegate.swift文件处理应用生命周期事件,如启动、进入后台和恢复等。 5. MVC模式:Model-...
ios-swift vapor开源项目(私人社区).zip
07-11
基于 swift vapor 服务器开发的即时通讯项目,开源前后台,想学习vapor服务器开发的同学,开源拿我的项目练练手, 工程文件较大,代码地址在附件里面 现已上架到App Store:https://itunes.apple.com/cn/app/id1127768538 基于 swift vapor服务器开发的html官网(一) https://srsq.herokuapp.com/blue 基于 swift vapor服务器开发的html官网(二) https://srsq.herokuapp.com/srsq swift vapor srsq服务器代码:https://github.com/cailingyun2010/SRSQ-Vapor ios客户端代码:https://github.com/cailingyun2010/SRSQ 备注:简书查看详细服务器配置教程: http://www.jianshu.com/p/9ded3257d97d
swift-IOSProject项目是一个以MVC模式搭建的开源功能集合
08-15
IOSProject项目是一个以MVC模式搭建的开源功能集合,基于Objective-C上面进行编写,意在解决新项目对于常见功能模块的重复开发,IOSProject对于项目的搭建也进行很明确的划分,各个模块职责也比较明确,IOSProject也引入的一些常用第三方插件、宏定义、工具帮助类等;
几百个实用图标打包下载
04-30
几百个实用图标打包下载,ico格式,编程人员有福了
常用ICO图标下载打包
07-02
我们编程时会使用到ICO图标,不过每个人喜好确实各有不同,能遇到自己喜欢的确实不多。这里提供了一些,希望你能收藏到自己喜欢的
3000个ICON格式图标打包下载
09-03
3000个ICON格式图标打包下载 3000个ICON格式图标打包下载
Swift 团队又一重磅开源项目
iOS_开发
04-09 296
????????关注后回复“进群”,拉你进程序员交流群????????作为 Swift 向安全、简单和高性能异步编程迈进的一部分,Swift 核心团队引入了一个新的算法包:AsyncSequence。这个算法包被称为 Swift Async Algorithms,现在已开源并可以在 GitHub 上获取https://github.com/apple/swift-async-algorit...
推荐开源项目Swift-Project-Template - 快速启动你的iOS开发之旅
gitblog_00095的博客
06-13 396
推荐开源项目Swift-Project-Template - 快速启动你的iOS开发之旅 Swift-Project-Template Script to easily create an iOS project base code! 项目地址: https:/...
推荐开源项目:CarbonKitSwift —— 让你的iOS应用UI焕然一新!
最新发布
gitblog_00009的博客
06-24 336
推荐开源项目:CarbonKitSwift —— 让你的iOS应用UI焕然一新! 项目地址:https://gitcode.com/gh_mirrors/ca/CarbonKitSwift 1、项目介绍 CarbonKitSwift是一款开放源码的iOS库,它为开发者提供了强大且美观的UI控制器。这个库的设计理念是简化开发流程,提升应用界面的用户体验,让你的应用在众多App中脱颖而出。 2、项目...
Swift好的开源项目
C_calary的博客
08-02 869
1.已有整理好的 http://www.cocoachina.com/swift/20150126/11016.html
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值