文件上传校验 - 简道云

文件上传校验

1. 简介

文件上传漏洞是指攻击者上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令的能力。

常见场景是 Web 服务器允许用户上传图片或者普通文本文件，而攻击者绕过上传机制上传恶意代码并执行从而控制服务器。

如果打开文件校验开关，在上传文件的时候会校验文件格式是否被篡改。

文件上传校验的规则如下：

校验内容	具体说明
校验格式	jpg ，zip ， xlsx ，rar ，ttc ，bmp ，gif ，ttf ，png ，docx ，pptx ，tif ，pdf ，gz ，ppt ，dwg ，jpeg ，doc ，jar ，xls ，mp4 ，mp3 ，mov ，avi ，wav ，ofd
校验策略	宽容策略当上传的文件不在校验格式列表中时，则在不校验的情况下直接上传严格策略当上传的文件不在校验格式列表中时，禁止上传
默认规则	默认校验开关为开、校验策略为宽容策略。