1

对于我正在帮助的网站,他们希望允许用户上传图像以进行显示。显然,这具有安全隐患。我已经看到它讨论过上传的图像应该存储在 webroot 之外,而不是只能通过脚本访问。

但是,当我查看 OWASPS 关于文件上传安全性的讨论时,我没有看到他们提到将上传的文件存储在 webroot 之外的必要性。https://www.owasp.org/index.php/Unrestricted_File_Upload。他们的开发人员建议列表还有许多其他步骤要采取,但令我惊讶的是,至少似乎没有提到将文件存储在 webroot 之外。

假设您遵循上面链接中 OWASP 列出的建议,是否可以认为允许在 webroot 中上传图像是安全的?

4

1 回答 1

0

不,没有必要将图像存储在 webroot 之外。但是,您应该确保将所有上传限制为 jpg、png 等。仅限图像格式,否则如您发布的链接中所述,您确实存在系统受到攻击的风险。我还会在 webroot 中创建一个专门用于上传图片的文件夹,让事情更有序,并确保里面的所有图片都设置为对网络用户只读。

于 2012-08-12T10:09:08.473 回答