任意文件上传:由于对上传文件未作过滤或过滤机制不严(文件后缀或类型),导致恶意用户可以上传脚本文件(jsp、php、asp),通过上传文件可以达到控制网站权限的目的
选择文件 可上传任意类型文件 上传文件
可上传任意类型文件
PS:这里其实有个问题,上传jsp脚本文件后,访问并不解析,而是直接下载 SpringBoot默认不支持jsp文件解析,本想着做jsp和Thymeleaf的同时解析,发现实现起来有点困难(至少现在认为是这样),当然后续会进行补充调整
选择文件 只能上传图片哦! 上传文件
只能上传图片哦!
安全编码规范: 1、后端采用白名单对上传文件类型进行限制 2、目录权限限制,禁止上传目录具有脚本解析环境 3、对上传文件回显相对路径或者不显示路径 4、采用云存储桶来存储用户上传的文件