对于我正在帮助的网站,他们希望允许用户上传图像以进行显示。显然,这具有安全隐患。我已经看到它讨论过上传的图像应该存储在 webroot 之外,而不是只能通过脚本访问。
但是,当我查看 OWASPS 关于文件上传安全性的讨论时,我没有看到他们提到将上传的文件存储在 webroot 之外的必要性。https://www.owasp.org/index.php/Unrestricted_File_Upload。他们的开发人员建议列表还有许多其他步骤要采取,但令我惊讶的是,至少似乎没有提到将文件存储在 webroot 之外。
假设您遵循上面链接中 OWASP 列出的建议,是否可以认为允许在 webroot 中上传图像是安全的?