由于服务器端未对文件类型、文件扩展名进行验证,造成攻击者上传恶意脚本到服务器端,从而执行攻击者的代码,这个过程就是文件上传漏洞。 文件上传原理 常见的验证文件的方式 客户端 javascript校验(一般只校验后缀名) 服务端校验 验证文件类型(文件头content-type字段校验(image/gif)) 验证文件扩展名 验证文件内容 服务器防御 应该限制目录脚本的执行权限,其次验证扩展名、验证文件内容合法性、验证文件类型。 【网络安全学习】系列教程