图片防止恶意获取服务器文件,防止恶意文件上传最佳实践

最新推荐文章于 2024-09-13 08:00:25 发布
最新推荐文章于 2024-09-13 08:00:25 发布
阅读量622 收藏
点赞数
文章标签: 图片防止恶意获取服务器文件
本文介绍了如何使用七牛云存储的上传策略来防止非法用户盗用token上传svg, xml, html等垃圾文件或涉黄视频。主要措施包括:指定上传的key以限制文件类型和位置,设置insertOnly为1以禁止文件修改,以及通过mimeLimit字段限制上传文件的MIME类型。这些策略有助于保护用户的业务运营和数据安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

有用户反馈,存在非法用户盗用她们的 token 在空间上传 svg,xml,html 等垃圾文件,注入广告,或者散播涉黄视频等资源,严重影响了用户业务的正常运营,针对此类问题,这边总结了如下处理方案。

通过上传策略限制上传

a.上传策略中 scope 指定 key 值,只允许用户上传指定 key 的文件

参数说明:

字段名

说明

scope

指定上传的目标资源空间 Bucket 和资源键 Key(最大为 750 字节)。有三种格式:

,表示允许用户上传文件到指定的 bucket。在这种格式下文件只能新增(分片上传需要指定insertOnly为1才是新增,否则也为覆盖上传),若已存在同名资源(且文件内容/etag不一致),上传会失败;若已存在资源的内容/etag一致,则上传会返回成功。

:,表示只允许用户上传指定 key 的文件。在这种格式下文件默认允许修改,若已存在同名资源则会被覆盖。如果只希望上传指定 key 的文件,并且不允许修改,那么可以将下面的 insertOnly 属性值设为 1。

:,表示只允许用户上传指定以 keyPrefix 为前缀的文件,当且仅当 isPrefixalScope 字段为 1 时生效,isPrefixalScope 为 1 时无法覆盖上传。

python 示例:

from qiniu import Auth, put_file

access_key =""

secret_key = ""

# 构建鉴权对象

q = Auth(access_key, secret_key)

# 要上传的空间

bucket_name = '2'

key = 'key'

#获取token的方法指定key

token = q.upload_token(bucket_name, key, 3600)

#put方法必须指定相同key才能上传

ret, info = put_file(token, key, 'localfilepath')

print ret

**b.上传策略中 insertOnly 指定为 1 或者指定 forceInsertOnly 为 true,只允许用户上传指定 key ,并且不允许修改**

参数说明:

字段名

说明

insertOnly

默认为0,指定为 1 时,上传指定 key 的文件,并且不允许修改,即上传相同 key ,不同 hash,返回 614 “file exists”,上传相同 key,相同 hash 仍旧返回 200

forceInsertOnly

默认为 False ,指定为 True 时,上传指定 key 的文件,并且不允许修改,只允许上传一次,即上传相同 key,相同 hash 仍旧返回 614 “file exists”,

python 示例:

from qiniu import Auth, put_file

access_key =""

secret_key = ""

# 构建鉴权对象

q = Auth(access_key, secret_key)

# 要上传的空间

bucket_name = 'bucket'

key = 'key'

#insertOnly 指定为 1

policy = {"insertOnly":1}

#获取token的方法指定key

token = q.upload_token(bucket_name, key, 3600, policy)

"""

#forceInsertOnly 为 true

policy = {'forceInsertOnly':True}

# 注意 forceInsertOnly是新增字段,这时候生成token的方法中 strict_policy 这个参数设置成False才能生效

token = q.upload_token(bucket_name, key, 3600, policy, strict_policy=False)

"""

#put方法必须指定相同key才能上传

ret, info = put_file(token, key, 'localfilepath')

print ret

c.上传策略中指定 mimetype ,限制上传文件类型

参数说明:

字段名

说明

mimeLimit

限定用户上传的文件类型。指定本字段值,七牛服务器会侦测文件内容以判断 MimeType,再用判断值跟指定值进行匹配,匹配成功则允许上传,匹配失败则返回 403 状态码。示例:

image/*表示只允许上传图片类型

image/jpeg;image/png表示只允许上传jpg和png类型的图片

!application/json;text/plain表示禁止上传json文本和纯文本。注意最前面的感叹号!

python 示例:

from qiniu import Auth, put_file

access_key =""

secret_key = ""

# 构建鉴权对象

q = Auth(access_key, secret_key)

# 要上传的空间

bucket_name = 'bucket'

key = 'key'

#限制mimeLimit

policy = {

"insertOnly":1,

"mimeLimit":"image/*" #只允许上传图片文件

}

#获取token的方法指定key

token = q.upload_token(bucket_name, key, 3600, policy)

#put方法必须指定相同key才能上传

ret, info = put_file(token, key, 'localfilepath')

print ret

七牛云图片上传和审核
zh624040645的博客
11-30 481
七牛云图片上传和审核
如何判断上传图片是否是正真的图片 防止上传恶意的非图片文件
luoxun11的专栏
02-19 697
final String JPG = "ffd8ffe0";//魔幻数字 final char[] HEX = {'0','1','2','3','4','5','6','7','8','9','a','b','c','d','e','f'}; InputStream in = ClassLoader.getSystemClassLoader().getResourceAsStr...
搞事情之使用七牛云的注意事项
weixin_34226706的博客
01-06 2008
原文地址:PJ 的 iOS 开发日常 前言 本博客最初所采用的图床就是七牛,当时因为第一次使用图床之类的服务,没有进行一个比较好的筛选,并且没有考虑过多的细节,所以直接采用了七牛。经过一段时间后,因为博客访问量上去了,超出七牛每月的免费流量额度,平均每个月花费在 10 元左右。 因为写博客是一件非常费脑费精力的事情,再纠结钱就十分的没意思了,遂开始了寻找一个免费既好用的图床。一番搜寻后,发现了这个...
服务器文件如何防止盗链,怎么在Apache服务器中实现一个防止图片盗链功能
weixin_33448555的博客
08-09 357
怎么在Apache服务器中实现一个防止图片盗链功能发布时间:2020-12-15 16:06:51来源:亿速云阅读:104作者:Leah这篇文章将为大家详细讲解有关怎么在Apache服务器中实现一个防止图片盗链功能,文章内容质量较高,因此小编分享给大家做个参考,希望大家阅读完这篇文章后对相关知识有一定的了解。先解释一下图片防盗链和转向:图片防盗链有什么用?防止其它网站盗用你的图片,浪费你宝贵的流量...
php如何防止图片盗用/盗链的两种方法
weixin_34260991的博客
10-31 474
如今的互联网,采集网站非常多,很多网站都喜欢盗链/盗用别人网站的图片,这样不仅侵犯网权,还导致被盗链的网站消耗大量的流量,给服务器造成比较大的压力,本文章向大家介绍php如何防止图片盗用/盗链的两种方法,需要的朋友可以参考一下。 图片防盗链有什么用?防止其它网站盗用你的图片,浪费你宝贵的流量。本文章向大家介绍php防止图片盗用/盗链的两种方法 Apache图片重定向方法 设置image...
Vue_VantUI文件上传的安全实践:【防止恶意文件上传的措施】
[Vue_VantUI文件上传的安全实践:【防止恶意文件上传的措施】](https://networksthatwork.net/wp-content/uploads/2022/11/web-content-filtering_63105381.jpg) 参考资源链接:[Vue VantUI 多文件上传实践:图片、...
java上传文件服务器
02-15
此外,必须确保服务器的安全性,防止恶意文件上传,例如,可以通过检查文件类型、大小和内容来过滤潜在的危险文件。 7. **进度条显示**:在用户界面中,为了提供更好的用户体验,可以实现上传进度的显示。这通常...
PHP图片上传安全检查:防止恶意文件入侵
PHP图片上传功能允许用户通过Web表单将图片文件上传服务器。该功能广泛应用于各种Web应用程序,例如社交媒体、电子商务和内容管理系统。PHP提供了多种函数和方法来处理图片上传,包括`$_FILES`超级全局变量和`move...
PHP 图片文件上传实现代码
12-18
为了防止恶意用户上传PHP等可执行文件获取服务器上的敏感信息,我们需要严格控制上传目录和允许的文件类型,通常仅允许上传图片。以下是一个简单的PHP图片文件上传的实现过程。 首先,创建一个HTML表单,让用户...
【C#文件上传安全宝典】:防止恶意文件上传的10大策略
然而,文件上传功能的安全性问题也随之凸显,不当的处理可能导致恶意文件上传和安全漏洞。本文首先概述了C#中文件上传的基本概念,并深入分析了文件上传过程中的安全风险及验证技术实践,包括服务器端和客户端的验证...
如何实现无刷新安全图片上传功能
u011277123的博客
01-18 3394
大龄菜鸟 2017-01-17 23:28 有时候我们想通过表单的方式收集用户的数据,例如,想收集用户在使用系统的过程中遇到的故障,我们可能需要提供一个表单让用户填写故障模块并附上截图。这时候,我们可能面对的是匿名的用户,即用户无需任何权限就能够提交表单,这就不得不考虑安全性的问题。例如,要检查用户提交的内容中是否包含恶意代码,防范SQL注入、XSS攻击等行为,另外,还要对用户的访问行为
关于七牛云JavaSDK上传
u014627536的专栏
02-15 613
package com.bjb.util; import java.io.InputStream; import java.util.ArrayList; import java.util.List; import javax.crypto.Mac; import javax.crypto.SecretKey; import javax.crypto.spec.SecretKeySpec;
java后端-微信小程序使用七牛云存储
weixin_45121446的博客
07-28 1392
微信小程序使用七牛云存储导读开发前的准备七牛云配置微信小程序测试号配置java配置-spring-boot正式开始java端代码七牛云工具类编写响应类编写七牛云响应结果获取token的控制器小程序代码七牛云工具类工具类的调用总结借鉴 导读 最近在做一个微信小程序项目,项目中涉及到大量图片的存储,由于之前的项目用到了七牛云存储服务,所以也打算在此项目中选用七牛云作为资源站点使用。 七牛云的存储方式为:服务端转储,客户端直传,客户端token上传; 本文主要讲解客户端token上传 开发前的准备 七牛云配置 首
java对接七牛云实现文件上传(详细版)
bright的博客
12-03 6725
java对接七牛云上传(详细版) 1.获取七牛云密钥 (我这里有多个存储空间) 2.yml配置 # 七牛秘钥 oss: qiniu: accessKey: 4H6sKnYPJrlzlM0zW9VRksZm1aA52R6lQyDoH1m_ secretKey: BQQ-Yqkr3VL7X3_LCcoK-u6r2nhIAHBEy6qDdBBh #图片名字 bucketPictureName: sunset-pictures #图片外部访问拦截
开发 Python 项目,要注意这 3个安全漏洞
Mankel
11-25 484
最近在一个 Python Web 项目中处理了 3 个安全漏洞。 在修复完毕之后,来给大家简单地总结分享一下,以提高大家在程序编写和项目开发中的安全意识。 1.YAML文件解析漏洞 在项目中,我们使用了 Python 的 yaml 模块来解析用户上传文件中的.yaml文件,在之前的代码中我们使用了如下的代码对.yaml文件进行读取和解析: import yaml yaml.load(yaml_file) 实际上,这样做会带来很大的安全风险。正常情况下,yaml会按照特定的解析规则对 yaml文件的内容进行
详细的七牛云防盗链配置
热门推荐
小浩子的博客
06-17 1万+
** 需求:上传到七牛云的图片防止被盗链和被刷流量。 解决方法:在融合CDN里面,对域名进行防盗链配置。 举个常用的场景:现在有个关于分享的网页,url是:http://www.aaa.com/share?url=xxx.jpg,xxx.jpg是图片在七牛的外链。现在我不想别人在浏览器直接输入xxx.jpg 就能访问图片,也不想别人狂刷xxx.jpg造成下载流量很大带来的经济损失。所以现在希
防止API被恶意调用,一般有哪些方法?
墨痕诉清风的博客
10-26 2227
1. 图片验证码 2. 限制请求次数 3. 流程条件限制 4. 归属地是否一致 5. 服务器接口验证 6. 采用https 7. 服务端代理请求
前端 vue上传七牛云 (需后端返回token)
weixin_60592115的博客
12-04 389
- 点击上传 -->domain: "http://up-z1.qiniup.com", // 七牛云的上传地址(华东区)只能上传jpg/png文件,且不超过500kb。token: "", //七牛云token。message: "上传出错,请重试!key: "", //图片名字处理。//请求后台拿七牛云token。//图片上传之前的方法。//图片上传成功的方法。//图片上传失败时调用。
七牛云私有空间图片上传、下载
最新发布
weixin_35858091的博客
09-13 286
导航 引言 总体思路 七牛云相关的配置文件 获取七牛云上传token 相关类定义 核心代码实现 获取七牛云图片下载链接 公开空间 私有空间 核心代码实现 结语 参考 引言 我们在成长,代码也要成长。 多媒体图片在各种网站、小程序和app中应用广泛,同时也大大增强了用户体验。 随着云服务的兴起,越来越多的应用选择将数据托管在云端。 而多媒体素材上云技术更是日趋成熟,不仅能降本增...
Asp.net实现单按钮上传文件与批量图片上传功能详解
文件上传功能需要考虑安全性,防止潜在的恶意文件上传,例如病毒、木马或不合法的文件类型。这需要在服务器端进行文件类型和大小的验证,并可能对上传文件进行扫描。此外,对用户上传文件名进行处理以避免路径...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值