我正在开发一个在线应用程序,该应用程序也允许上传图像文件。处理上传的服务器是用 C 语言编写的。所以我在想是否可以上传恶意内容。我说的是病毒或恶意代码等。我只允许上传图片,这样我就可以检查 MIME 类型以及文件后缀。但我不确定这是否足够。上传的图片将通过 HTML<img>
标签自动传送。
我知道过去图像被用来引发缓冲区溢出和其他不愉快的事情。但也许这不是我检查的责任,而是在浏览器的末端不允许图像处理暴露漏洞?
简而言之:当提供依赖于用户提供的图像的服务时,我可以做些什么来防止我的服务器成为恶意软件的分发中心?关于这个问题的最佳实践是什么?我会继续通过某种算法或某个库检查上传的文件吗?这会打开我的漏洞吗?这完全是我的担心吗?
编辑:我可能没有具体说明文件上传部分的操作模式。它是nxweb
一个服务器的一个模块,它是用模块编写C
的。所以我正在寻找方法来验证该模块中的文件。