这可能是一个愚蠢的问题,但我只想知道我是否有一个表单,允许用户上传最多 3 个图像文件并将这些图像通过电子邮件发送给我到外部服务器。问题是,如果我只检查扩展名以确保它是我想要的文件类型而不检查实际文件类型,这会对我的服务器造成任何安全问题吗?我知道上传文件必须先将文件临时保存到我的服务器。任何帮助将不胜感激。谢谢。
问问题
82 次
1 回答
0
文件扩展名绝对不是文件类型的可靠指标——任何文件类型都可以用任何扩展名命名。类似的东西libmagic可以帮助您更好地确定文件类型,如果这是您想要做的。
也就是说,只要您的服务器不执行发送给它的任何文件,并且仅充当邮件程序,我认为用户上传恶意文件不会有任何风险,至少不会向服务器本身上传。服务器配置的其他方面可能会使服务器上存在可执行文件成为问题,但邮件程序本身并不是一个特别的风险。
当然,设置任何允许某人从 Web 发送邮件的应用程序都需要一定级别的授权安全性,以避免将您的应用程序用作垃圾邮件机制。如果邮件只发送给您自己,那么您是唯一会收到垃圾邮件的人,但它仍然可能相当烦人。
于 2013-04-09T20:19:16.543 回答