我有一个自定义的php Web应用程序,用户可以在其中上传图像。我知道图像文件存在安全隐患,因为黑客可以向其中添加恶意代码并通过图像文件的URL触发它们。
因此,我不再将图像存储在Web服务器中并将其直接上传到Amazon S3。我想知道,即使图像文件存储在完全独立的地方(如Amazon S3)中,黑客还是可以通过恶意图像获得相同的结果。
如果将文件上传到S3,则无需担心RCE之类的服务器端漏洞,因为它是不会执行的对象存储,但是您需要注意XSS之类的客户端漏洞。 。即,即使在您上传图片的情况下,攻击者也无法通过利用不受限制的文件上传来直接损害服务器端设置,但他可以将客户端脚本嵌入图片中并加以利用...如@ dy10所述,设置适当的内容类型帮助...