发布于 1970-01-01 08:00
    • 1 个回答
      1. 上传的时候不依靠Content-Type来做文档类型验证,可以参考我在这里的回答如何判断浏览器上传文件的真实类型?
      2. 上传的图片文件放到web 目录外的地方,限定好权限,图片展示的时候,可以使用另一个域名。
      3. 强制服务器给静态文件发送正确的文件头,避免图片中的代码被执行 参考http://nullcandy.com/php-image-upload-security-how-not-to-do-it/ 
      ForceType application/octet-stream
<FilesMatch "(?i)\.jpe?g$">
    ForceType image/jpeg
</FilesMatch>
<FilesMatch "(?i)\.gif$">
    ForceType image/gif
</FilesMatch>
<FilesMatch "(?i)\.png$">
    ForceType image/png
</FilesMatch>
      2022-12-01 19:36 回答
    撰写答案
    今天,你开发时遇到什么问题呢?
    立即提问
    热门标签
    PHP1.CN | 中国最专业的PHP中文社区 | PNG素材下载 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
    Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有