我应该将上传的图像存储在 webroot 之外吗?

【问题标题】:Should I store uploaded images outside webroot?我应该将上传的图像存储在 webroot 之外吗?
【发布时间】:2012-08-12 09:59:51
【问题描述】:

对于我正在帮助的网站,他们希望允许用户上传图片以进行展示。显然,这具有安全隐患。我看到有人讨论过上传的图像应该存储在 webroot 之外,而不是只能通过脚本访问。

但是,当我查看 OWASPS 关于文件上传安全性的讨论时,我没有看到他们提到将上传的文件存储在 webroot 之外的必要性。 https://www.owasp.org/index.php/Unrestricted_File_Upload 。他们的开发人员建议列表还有许多其他步骤需要采取,但令我惊讶的是,至少似乎没有提到将文件存储在 webroot 之外。

假设您遵循上面链接中 OWASP 列出的建议,是否可以认为允许在 webroot 中上传图像是安全的?

【问题讨论】:

    标签: security file-upload image-uploading


    【解决方案1】:

    不,没有必要将图像存储在 webroot 之外。但是,您应该确保将所有上传限制为 jpg、png 等。仅限图像格式,否则如您发布的链接中所述,您确实存在系统受到攻击的风险。我还会在 webroot 中创建一个专门用于上传图片的文件夹,让事情更加有序,并确保里面的所有图片都设置为对网络用户只读。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2015-12-07
      • 1970-01-01
      • 2015-07-18
      • 2014-05-02
      • 2013-03-09
      • 2011-10-30
      • 2017-06-03
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode