文件上傳漏洞怎么防范

文件上傳漏洞是web安全中經常用到的一種漏洞形式。是對數據與代碼分離原則的一種攻擊。文件上傳漏洞的防護方法如下：

• 編碼者需要對上傳頁面代碼嚴格把關,特別是在保存文件的時候，考察可能出現異常字符，如.,空字符等。

• 對文件擴展名檢查要采取”允許jpg.gif..” 這樣的檢查,而不要采取“不允許,asp..”這樣的檢查,例如IIS允許執行cer類型的腳本。

• 不可以使用本地的JS來進了后綴名驗證,必須再服務器端進行驗證。

• 最好對上傳文件的目錄設置為不可執行腳本,這可以通過web服務器配置加固實現。

回答所涉及的環境：聯想天逸510S、Windows 10。