图像上传-安全问题

有没有C#中的方法（或外部库）可以确认文件是JPG / PNG，否则会抛出错误？

也许有，但这本身并没有什么帮助。您可以轻松地创建一个既是有效图像格式又包含活动HTML /脚本内容供IE内容嗅探绊倒的文件。或者还有破碎的Java和Flash起源策略需要担心，这可能会产生同样的影响，将脚本化到服务器的安全上下文中。

1. 如果您处理图像（例如剪裁，调整大小）并重新保存，则极其难以进行内容走私攻击。然而，您应始终确保您的服务器端工具是最新的，因为图像处理库中的漏洞可能使您暴露于服务器端利用。

2. 如果您无法这样做，那么作为减轻所有内容注入问题的最佳选择是从不具有对主站点敏感凭据（cookie，基本认证）的任何内容的不同[子]域提供图像。

3. 如果使用此目的的子域，例如images.example.com，则您的主站点应仅通过www.example.com访问，而不是example.com。否则，在IE中向images.example.com注入内容可以访问example.com的cookie。example.com应301重定向到www.example.com，以防止不必要的cookie泄漏。

4. 将响应添加头X-Content-Type-Options: nosniff，以阻止来自IE8的内容走私攻击。（很遗憾，无法帮助早期版本。）

此外：

1. 在 Windows 服务器上，用户指定的文件名的过滤是很困难的，因为可用文件名的规则非常复杂。一个好的起点是只允许使用字母和数字，并添加自己的文件扩展名和前缀。(需要前缀来避免 Windows 保留的文件名和空文件名.)

2. 更好的做法是将用户提供的文件名存储在数据库中，而不是直接使用它作为真实文件名。

有关文件上传安全问题的更多讨论，请参见此问题。

这是个绝对的雷区。以下是一些需要考虑的内容（并非详尽无遗，不做任何保证等）：

• 有些人会使用正则表达式来解析文件，因此无法知道文件是否包含代码。ZIP 文件将其目录放在末尾。现在 Sun/Oracle Java PlugIn/WebStart 检查文件是否以 ZIP 当地头部/条目魔术数字开头，以避免“GIFAR”攻击。
• 从不同的域名提供，以避免同源问题。
• 从不同的 IP 地址提供，以避免同源问题。
• 检查文件是否利用了例如 0-day 缓冲区溢出漏洞等问题有点棘手。它甚至可能利用无限循环来创建 DoS。
• 最好重新编码图像。
• URL/文件路径名称要小心。如果可以选择，请使用白名单检查。特别是 NUL 字符会很“有趣”。还请注意目录遍历攻击。总体而言，在已知位置放置特定内容的文件至少也是十分危险的。
• 或者如果是图像，您可能需要检查大小是否合理。解压巨大的图像很可能导致 DoS。此外，请注意压缩算法通常可以通过巨大的因数压缩微不足道的数据。

不要让用户决定将在您的服务器上使用的文件名。请改用[生成的guid].jpg，并将他们使用的文件名放入数据库表中（如果需要）。参见此处的#12：http://www.codinghorror.com/blog/2009/01/top-25-most-dangerous-programming-mistakes.html 当您在构建文件名时使用外部输入时，结果的路径可能会指向预期目录之外。攻击者可以结合多个“..”或类似序列，使操作系统导航到受限目录之外。其他与文件相关的攻击可以通过外部控制文件名来简化，例如符号链接跟随，这会导致您的应用程序读取或修改攻击者无法直接访问的文件。如果您的程序正在以提高的权限运行并接受文件名作为输入，则同样适用。对于URL和允许外部人指定任意URL也适用类似规则。
URL也要小心，确保它是绝对的、外部的URL，这样他们就不能使用您自己的Web服务器将机密文件从LAN复制到他们可以访问的区域，因为您将从在您的Web服务器上运行的代码加载该URL。

您可以使用基础设施即服务来处理图像，例如我们的解决方案 - Uploadcare：

https://uploadcare.com

如果您对上传的图像应用任何图像操作，它将被修改，因此文件中嵌入的任何代码都将被破坏。