我想知道当网站的最终用户可以上传文件到服务器时会出现什么安全问题。
例如,如果我的网站允许用户上传个人头像,但其中一个用户上传了有害内容,会发生什么?我应该设置什么样的安全措施来防止此类攻击?在这里我谈论的是图像,但是如果用户可以将任何东西上传到类似文件保险库的应用程序中呢?
这更像是一个普遍性的问题而不是关于特定情况的问题,所以在这种情况下,有哪些最佳实践?你通常会怎么做?
我推测:上传时进行类型验证,为上传的文件设置不同的权限...还有什么?
编辑:为了澄清上下文,我在考虑一种Web应用程序,用户可以上传任何类型的文件,然后在浏览器中显示它。该文件将存储在服务器上。用户是使用该网站的任何人,因此没有信任关系。
我正在寻找适用于不同语言/框架和生产环境的一般答案。