JS判断文件后缀名是否合法化

于 2023-11-25 17:05:10 发布
阅读量162 收藏
点赞数
分类专栏: Web开发——JS 文章标签: javascript 前端 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_44645934/article/details/134617081
版权 
        /**
         * 判断文件后缀名是否合法化
         * @param {filename} filename 文件
         * @return {*}  result;
         */

        function isSuffixNameLegal(filename) {
          let allows = [".png", ".jpg", ".bmp", ".gif", ".webp"];
          //获取文件的后缀
          let index = filename.lastIndexOf(".");
          let extname = filename.substring(index);
          //  判断文件后缀名是否合法化
          if (allows.includes(extname)) {
            return true;
          } else {
            return false;
          }
        }

        let filename = "C:/Users/root/Desktop/imges/video/preview1.png";
        console.log(isSuffixNameLegal(filename));

文件上传漏洞-原理篇
AkangBoy的博客
12-02 3778
本文主要介绍文件上传漏洞原理、危害等基础知识,以及常见的文件上传检测机制和绕过手段
2024年【网络安全之文件上传漏洞详解】
2301_77121488的博客
05-01 1143
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
使用js正则验证文件夹是否符合规范
u012804473的博客
02-01 2114
验证字符串是否复合 中划线命法、大驼峰命法、小驼峰命
js判断文件名是否合法
易函123
11-18 947
文件类型可查询MIME参考手册. 获取文件后缀 /** * @description 获取文件后缀 * @param {String} fileName 文件全,包含后缀的那种 */ export function getFileExt(fileName) { let splits = fileName.split('.'); return _.last(splits); } 检查文件类型 /** * @description 检查文件类型,是否合法的,这里的validM
python中的全局变量(global关键字)
热门推荐
木盏
10-05 8万+
全局变量,顾思义,就是全局都可以使用的变量。一般定义在函数之外,然后函数内部通过global关键字描述,以区分函数内部的普通变量。一般,需要用到全局变量的地方,我都会把这些函数写成一个类,然后通过类属性变量的方法公用一个变量。不过,很多时候用不着大动干戈去写类。 先看一个简单栗子: a = 0 # initialize variable a def coo(): global a # call a a += 1 return a for i in range(10):
JS 获取文件后缀判断文件类型(比如是否为图片格式)
qq_45457134的博客
11-04 4975
JS 获取文件后缀判断文件类型是否为图片格式
使用JavaScript文件名做正则校验
u013239476的博客
03-05 4156
//验证上传文件的文件名是否合法 function validateFileName(fileName ){ //var fileName = 'a.html'; var reg = new RegExp('[\\\\/:*?\"<>|]'); if (reg.test(fileName)) { //"上传的文件名不能包含【\\\\/:*?\"<>|】这些非...
js判断上传文件后缀是否合法
10-22
2. 初始化一个flag变量,用于标记文件后缀是否合法合法为true,不合法为false)。 3. 定义一个数组arr,包含允许的文件后缀,比如["jpg", "png", "gif"]。 4. 使用lastIndexOf()方法找到文件名中最后一个"....
js 判断附件后缀的简单实现方法
11-21
以下是一种简单的实现方法,通过JavaScript来检查文件的后缀是否匹配预设的合法类型。 首先,我们需要获取用户选择的文件名。在HTML中,我们通常会有一个`<input type="file">`的表单元素让用户选择文件。当用户...
js验证文件后缀的方法(有新方法就更新)
于离别之朝束起约定之花的博客
05-28 1498
主要js let test = '1.2.3.4.5.6.Txt'; let hz = test.split('.').slice(-1)[0].toLowerCase(); console.log(hz); // 输出txt 思路就是把文件名以 ‘. ’切割成数组,然后再取切割后数组的最后一项,最后转为小写 验证单个直接判断是否相等就行 验证多个 let arr = ['txt', 'mp4', 'mp3', 'mp2']; let name = name.split('.').slice(
判断链接后缀文件类型
悄悄地卷的博客
10-10 1495
1、获取文件后缀 //文件路径 var filePath = "file://upload/jb51.png"; //获取最后一个.的位置 var index= filePath.lastIndexOf("."); //获取后缀 var ext = filePath.substr(index+1); //输出结果 console.log(ext); 2、文件类型判断 ​ 我们得到文件后缀后,根据后缀即可判断文件的类型(文件格式)。比如我们需要判断一个文件是否是图片格式,首 先定义一个判断函数: func
js正则表达式验证文件扩展
Baby_加油_的博客
02-16 4275
js正则表达式验证文件扩展 验证是否是图片
使用JavaScript对上传文件的文件名做正则校验
qiancc的博客
09-13 7750
使用ckfinder控制在项目中做文件上传时 , 需要对上传文件的文件名做正则校验 , 代码如下: &lt;td&gt; &lt;input id="attachment" name="attachment" type="hidden"&gt; &lt;sys:ckfinder input="attachment" type="files" upl
js、jquery方法
while(life)++;
01-27 2191
js、jquery方法
07-js正则验证文件后缀
高调做事,低调做人!
09-22 3419
function test2() { var t = document.getElementById('test').value; var reg =/.txt$/; if (reg.test(t)) { alert("ok"); } else { alert("not ok"); } } import java.util.regex.Patte
现在我测试的时候发现一个问题,通过管理后台的配置修改功能可以直接修改整个系统文件上传的文件后缀,我认为这是不安全的,你觉得呢?应该后端代码直接写死吧
最新发布
02-19
<think>好的,我需要帮用户分析他们发现的安全问题。用户提到在管理后台的配置修改功能中可以直接修改系统文件上传的后缀,认为这不安全,并建议后端代码写死。首先,我需要理解这个问题的具体情况。 用户可能是在测试过程中发现,通过管理后台的某个配置项,可以更改允许上传的文件后缀,比如从允许图片扩展改为可执行文件如.exe。这样的配置如果被恶意利用,攻击者可能上传危险文件,导致服务器被入侵或数据泄露。用户认为这种灵活性带来了风险,应该在后端固定允许的后缀,而不是允许通过配置修改。 接下来,我需要思考这个问题的严重性。确实,允许动态修改上传文件的后缀是一个安全隐患,尤其是在管理后台未做足够权限控制和输入验证的情况下。攻击者如果获取了管理员权限,或者利用其他漏洞修改配置,可能导致上传恶意文件。此外,即使有权限控制,内部人员的误操作也可能引发问题。 然后,我需要考虑用户建议的解决方案:后端代码写死允许的后缀。这样做的好处是减少配置错误或恶意修改的可能性,提高安全性。但可能牺牲系统的灵活性,比如不同环境或不同用户可能需要不同的配置。因此,需要权衡安全与灵活性。 可能的替代方案包括加强配置修改的权限控制,增加输入验证,或者结合白单机制。例如,即使允许通过配置修改,后端也应验证配置中的后缀是否在预定义的安全列表内,或者对上传的文件进行二次检查,确保其真实类型与后缀匹配。 此外,还需要考虑其他安全措施,如文件类型检测(使用MIME类型或文件头验证),限制上传文件的大小,将上传文件存储在非Web可访问目录,使用随机文件名等。这些措施可以多层防御,即使某个环节被绕过,其他措施仍能提供保护。 用户可能没有考虑到所有可能的攻击向量,比如文件上传漏洞不仅限于后缀,还有内容、大小、存储位置等。因此,在回答时需要全面指出风险,并提供多方面的加固建议,而不仅仅是写死后端代码。 最后,需要确保回答符合中国网络安全法规,强调合法测试和漏洞报告的重要性,避免用户进行未经授权的渗透测试。</think>你的发现非常重要,确实存在安全隐患。文件后缀单的灵活性若缺乏有效管控,可能引发严重安全风险。以下从技术角度进行详细分析并提供解决方案: -- ### 一、风险本质 1. **攻击场景**: ```python # 攻击者将允许后缀改为.php并上传webshell ALLOWED_EXTENSIONS = ['php', 'exe'] # 通过管理后台篡改后的配置 ``` 2. **绕过检测**: - 上传`malicious.jpg.php`双后缀文件 - 修改配置允许.apk/.jar等可执行格式 3. **组合风险**: - 配合文件包含漏洞执行恶意代码 - 上传病毒文件导致内网渗透 --- ### 二、正确设计模式 #### 方案1:硬编码白单(推荐) ```java // 文件类型校验类 public class FileValidator { private static final Set<String> SAFE_EXTENSIONS = Set.of("png", "jpg", "pdf", "docx"); // 编译期常量 public boolean isValidExtension(String ext) { return SAFE_EXTENSIONS.contains(ext.toLowerCase()); } } ``` #### 方案2:动态配置+双重校验 ```python # 配置文件(admin_upload_config.json) { "allowed_extensions": ["png", "jpg"], "max_size": 1024000 } # 业务代码 ALLOWED_TYPES = {'png', 'jpg', 'pdf'} # 代码层白单 def validate_file(ext): config = load_config() # 读取动态配置 # 动态配置必须为代码白单的子集 if ext in config['allowed_extensions'] and ext in ALLOWED_TYPES: return True return False ``` -- ### 三、防御层设计 1. **多层校验机制**: ```mermaid graph TD A[客户端JS校验] --> B[服务端后缀白单] B --> C[文件头签校验] C --> D[沙箱行为分析] ``` 2. **签验证示例**: ```python # 真实文件类型检测 import magic def check_real_type(file_stream): header = file_stream.read(1024) detected = magic.from_buffer(header, mime=True) return detected == 'image/png' # 实际应为动态判断 ``` 3. **安全存储策略**: - 文件重命策略:`UUID + 固定后缀`(例:`3b9feb3a-7.jpg`) - 存储目录权限:禁止直接执行上传目录文件 --- ### 四、审计与监控 1. **配置修改审计**: ```sql CREATE TABLE config_audit ( id INT PRIMARY KEY, operator VARCHAR(32), old_value JSON, new_value JSON, ip_address VARCHAR(15), modify_time TIMESTAMP DEFAULT CURRENT_TIMESTAMP ); ``` 2. **异常行为检测**: - 监控短时间内多次修改上传配置的行为 - 对非常见管理员账号的配置操作进行二次认证 --- ### 五、合规性要求 根据《网络安全等级保护基本要求》: 1. **数据完整性**(条款8.1.4): - 需对系统配置信息的修改进行完整性校验 2. **安全审计**(条款8.1.7): - 关键配置变更应记录审计日志,保存时间不少于6个月 --- ### 改进建议 1. **立即措施**: - 在代码层添加硬编码白单校验 - 禁用管理后台的文件后缀修改功能(或设置仅可查看) 2. **长期方案**: ```bash # 安全开发流程示例 需求评审 -> 威胁建模 -> 安全编码 -> 自动化SAST/DAST扫描 -> 人工渗透测试 ``` 建议参考OWASP文件上传防护指南([OWASP Cheat Sheet](https://cheatsheetseries.owasp.org/cheatsheets/File_Upload_Cheat_Sheet.html))进行完整加固。你的安全意识非常值得肯定,这类配置过度开放的问题在实际系统中较为常见但危害巨大。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值