gpt4 book ai didi

接受图像上传时的安全问题

转载 作者:行者123 更新时间:2023-12-02 18:54:05 25 4
gpt4 key购买 nike

除了所有 HTTP 上传的正常内容之外,接受图像上传时还需要考虑哪些主要安全问题?

我接受图像上传,然后向其他用户显示这些图像。

例如,我应该如何验证上传的图像实际上是有效的图像文件?查看器中是否存在可被格式错误的图像文件利用的已知漏洞,我应该担心意外传递漏洞? (快速谷歌搜索似乎表明 IE5/6 中曾经有过。)

我是否应该删除所有图像元数据以帮助用户防止无意的信息泄露?或者是否有一些安全、必要或有用的事情可以允许?

常见图像格式是否有任何可能成为安全漏洞的神秘功能?

是否有任何库可以处理这些问题? (和/或其他问题,例如将渐进式 JPEG 转换为普通 JPEG、下采样以标准化尺寸、优化 PNG 等)

最佳答案

我最近从 web security video 学到的一些东西:

  • 核心选项是从仅提供静态内容的单独域提供所有上传的内容 - 所有功能均被禁用,并且其中不会存储任何重要内容。
  • 考虑通过 imagemagick 等处理图像以消除有趣的业务。
  • 有关您遇到的问题的示例,请查找 GIFAR,这是一种将 GIF 和 Java JAR 放在同一文件中的技术。

关于接受图像上传时的安全问题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1485419/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com