0

base64エンコーディング(デフォルト)でhtml5キャンバスベースの画像アップロードを使用しています。サーバー側: リクエストが送信されると、base64 ヘッダーが削除され、base64_decode 関数 (eval php 関数はまったく使用されません) が適用され、jpg として直接ファイル システムに保存されます。

アップロードされたファイルをアップロードされたものの正確なコピーとして保存しているので。ユーザーが jpg を装った悪意のある php/js ファイルをアップロードし、訪問者がその悪質な jpg を表示した場合、これはセキュリティ上のリスクになりますか? はいの場合、アップロードされたファイルを gd で処理します。gd-processedの後、それらはなくなると思います。

4

1 に答える 1

0

アップロードされたファイルを、アップロードされたものの正確なコピーとして保存しているので。

次に、あらゆる種類のファイルのアップロードを処理するときに発生するすべての問題があります。ここでは、HTML5に固有のものはありません。

ユーザーがjpgになりすました悪意のあるphp/jsファイルをアップロードし、訪問者が悪いjpgを表示した場合、これはセキュリティ上のリスクですか?

image/jpegコンテンツタイプを使用してHTTP経由で配信すると仮定します—いいえ。

ただし、過去に画像ライブラリのバッファオーバーフローベースの脆弱性に問題があったため、理論的には、特別に細工されたJPEGがエンドビューアのシステムのセキュリティの脆弱性を悪用する可能性があります。

于 2012-10-22T10:07:18.213 に答える