文件上傳有哪些防護方式

文件上傳的防護方法有以下這些：

• 文件上傳的目錄設置為不可執行：最有效的，將文件上傳目錄直接設置為不可執行，對于Linux而言，撤銷其目錄的’x’權限；實際中很多大型網站的上傳應用都會放置在獨立的存儲上作為靜態文件處理，一是方便使用緩存加速降低能耗，二是杜絕了腳本執行的可能性。

• 判斷文件類型：在判斷文件類型時，可以結合使用MIME Type、后綴檢查等方式。在文件類型檢查中，強烈推薦白名單方式，黑名單的方式已經無數次被證明是不可靠的。此外，對于圖片的處理，可以使用壓縮函數或者resize函數，在處理圖片的同時破壞圖片中可能包含的HTML代碼。

• 使用隨機數改寫文件名和文件路徑：文件上傳如果要執行代碼，則需要用戶能夠訪問到這個文件。在某些環境中，用戶能上傳，但不能訪問。如果應用了隨機數改寫了文件名和路徑，將極大地增加攻擊的成本。再來就是像shell.php.rar.rar和crossdomain.xml這種文件，都將因為重命名而無法攻擊。

• 單獨設置文件服務器的域名：由于瀏覽器同源策略的關系，一系列客戶端攻擊將失效，比如上傳crossdomain.xml、上傳包含Javascript的XSS利用等問題將得到解決。

• 限制用戶上傳文件的類型：指定用戶在上傳時所上傳的文件格式和類型，如果不符合這個格式則不允許上傳，并在上傳后要對文件的后綴名進行檢驗，防止攻擊者雙后綴名繞過。

回答所涉及的環境：聯想天逸510S、Windows 10。