今天在网易博客上看到一种图片注入攻击方式,将JS注入到BMP中,BMP可以正常显示,JS也能运行。看起来很恐怖的样子。请问各位大神此类攻击如何避免啊?TP的上传函数是否有过滤(我看了一下驱动,貌似只有对后缀进行过滤)?图像处理的时候,直接将用户上传的图片open有没有安全隐患啊?安全方面完全新手,望各位大神抽空指点一二。拜谢!
最佳答案
今天在网易博客上看到一种图片注入攻击方式,将JS注入到BMP中,BMP可以正常显示,JS也能运行。看起来很恐怖的样子。请问各位大神此类攻击如何避免啊?TP的上传函数是否有过滤(我看了一下驱动,貌似只有对后缀进行过滤)?图像处理的时候,直接将用户上传的图片open有没有安全隐患啊?安全方面完全新手,望各位大神抽空指点一二。拜谢!