当您添加公开的图像上传表单时，如何保护您的 Web 应用程序？

Question

我正在使用一个用 aspnet mvc 编写的小型 Web 应用程序（在 .NET 4 上运行）。该网站向公众开放，我们允许任何人上传图像（jpg/gif/png）。

目前，我正在执行看似最低安全性的操作，例如在上传步骤中进行检查

1. ，确保文件以 .jpg/.gif/ 结尾.png
2. 验证为传入文件列出的实际内容类型是“图像”，
3. 使用基于参数的 SQL

以（希望）避免基本的 SQL 注入，但我忍不住觉得我缺少防止漏洞利用的基础知识： ）

您可以提出的任何可能有助于减少公开图片上传的风险会很大！

Answer 1

请注意，存在许多基于图像的漏洞，几乎所有这些漏洞都针对较差的图像编解码器实现。 除非您能够在 沙盒环境将提供损坏的图像，几乎或根本没有机会损坏您的系统上的任何内容。