【安全】网站如何防范上传导致后门漏洞

一 上传时, 限制扩展名的类型, 不符合要求的不能上传.

比如上传图片或文档时, 限制为 .jpg, .png, .gif, .bmp, .docx, .pdf 等必须的格式, 这样, .aspx, .html 等带脚本攻击性(有的不是攻击性, 但可能涉H, 导致GA找上门, 也不是好事)的文件就不会上传了.

二 上传图片时, 先验证是否为真实图片. 如果不是不允许上传

代码类似下面:

try
{
    using (System.Drawing.Image img = System.Drawing.Image.FromStream(postedFile.InputStream))
    {
        // 加载成功，很可能是有效图片
        // 还可以进一步检查尺寸等属性
    }
}
catch (Exception ex)
{
    // 不是有效图片，拒绝上传
    throw new Exception("文件不是有效的图片格式。");
}

三 Web中间件上设置, 上传目录不允许执行脚本

下面是 IIS 上设置示例. 这样, 即使黑客上传成功了, 执行不了也是白费劲.