标签：

接入层上传 上传问题

上传文件

再次访谒上传的文件

上传的文件被当成措施解析

上传问题防御

限制上传后缀

let ext = path.extname(file.name); if (ext === ".js") { throw new Error("不要上传坏文件"); }

但是可以通过改后缀名的方法，，到达打击的目的

文件类型查抄

if (file.type != "image/png") { throw new Error("只允许PNG"); }

类型是从浏览器读取的，可以不颠末浏览器上传文件，依然不安适

文件内容查抄

var fileBuffer = fs.readerFileSync(file.path); fileBuffer[0] == 0x5b;

但是可以通过在文件头部写入对应的内容

GIF89a <?php

所以还是不安适

措施输出

对照保险，但是对性能可能会有很大的影响

权限控制-可写可执行互斥

这还少一个原则，是安适的一个最低保障

前端-接入层上传问题