【前端安全】接入层上传问题

最新推荐文章于 2023-10-08 14:46:25 发布
最新推荐文章于 2023-10-08 14:46:25 发布
阅读量228 收藏
点赞数
分类专栏: 安全 文章标签: 安全 接入层
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37021554/article/details/89189137
版权

接入层上传问题

上传来自用户,会马上被用户访问

如果文件被当做文件解析,可能会造成问题。

如果是可以被执行的文件,可能会直接执行一些非法的操作。

上传问题:

  1. 上传文件
  2. 再次访问上传的文件
  3. 上传的文件被当成程序解析
const bodyParser = require('koa-body');
app.use(bodyParser({
    multipart: true
}))

防御:

  1. 限制上传后缀
if(data.files) {
    let file = data.files.img;
    let ext = path.extname(file.name);
    if(ext === 'js') {
        throw new Error('别传js');
    }
    let filename = Date.now() + ext;
    fs.readnameSync(file.path, './static/upload' + filename);
    
    data.fields.content += '<img src="/uploadFile/" + filename/>'
    
    data = data.fields;
    
}
  1. 文件类型检查
if(file.type != 'images/png') {
    throw new Error('只允许png')
}
  1. 文件内容检查

每一种文件前面的几个buffer的内容都是固定的

var fileBuffer = fs.readFileSync(file.path);
fileBuffer[0] == 0x5b;
  1. 程序输出
  2. 权限控制-可写可执行互斥
Daisyiko
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络分级设计模型的三架构:接入、汇聚、核心到底有什么说法?
网络技术联盟站
05-27 1万+
在网络组网中,接入、汇聚和核心扮演着不同的角色和功能。接入是最靠近用户的一,负责连接用户设备到网络并提供用户接入接口。汇聚连接多个接入,将数据流量聚合到核心,并实施数据转发和策略控制。核心是网络的最高级别,负责处理大量的数据流量,进行路由决策和实现跨网络通信。这些次的划分和功能分工使得网络组网更加灵活、可扩展和高效。不同次的设备和技术可以根据需求进行选配和配置,以满足不同规模和需求的网络环境。理解接入、汇聚和核心的概念和作用对于网络架构师、系统管理员和网络工程师来说至关重要。
接入、汇聚、核心之间的区别
weixin_43149797的博客
08-19 1万+
核心:核心的主要功能是实现骨干网络之间的优化传输。骨干设计任务的重点通常是冗余能力、可靠性和高速传输。核心一直被认为是所有流量的最终承受者和汇聚者。 汇聚:汇聚是网络接入和核心的"中介",就是在工作站接入核心前先做汇聚,以减轻核心设备的负荷。汇聚具有实施策略、安全、工作组接入、虚拟局域网(VLAN)之间的路由、源地址或目的地址之间的过滤等功能。 接入:通常指网络中直接面向用户连接或访问的部分。接入通过光纤、双绞线、同轴电缆、无线接入技术等传输媒介,实现与用户的对接,并进行业务和
化网络设计:核心,汇聚接入
brian0031的专栏
11-11 1万+
核心,汇聚接入
网络次架构:核心、汇聚接入,解密网络的脉络!
SPOTO2021的博客
10-08 2885
交换机带宽,如果1000路摄像机,汇聚有8台交换机的话,则每台需要同时处理 125 只摄像机的 4M 码流(125* 4M=500M),也就意味着汇聚交换机需要支持同时转发500M以上的交换容量。当然大型网络中,光有接入与核心难以协调分配,就需要三结构了,核心与汇聚接入,用汇聚来分解核心交换机的压力,涉及到vlan的划分,网络管理等功能,就需要三交换机了。大部分网络都是只有三,网络结构数越少,网络响应越快,简洁的网络结构,无论是响应速度与后期故障维护,都是有好处的。
【博客431】接入 && 汇聚 && 核心
qq_43684922的博客
07-23 5401
需要说明的是,对于核心交换机、汇聚交换机以及接入交换机并没有固定要求,它们处于哪一主要取决于网络环境的大小及设备的转发能力,也不是每个网络都必须有这三个结构,有些企业只有接入交换机和核心交换机,这种做法的其中一个目的就是可以节约成本。核心、汇聚接入这三网络架构采用次化模型设计,将复杂的网络设计分成几个次,每个次着重于某些特定的功能,这样就能够使一个复杂的大问题变成许多简单的小问题!1、核心交换机是部署于核心的交换机,而汇聚交换机是部署于汇聚的交换机;...
javaweb新奥家电连锁网络系统源码
05-14
该项目是一个家电连锁商城系统,提供商品销售、配送、售后等功能,分为前台商城、后台管理和移动APP三部分。前台商城提供家电商品销售、购物车下单等功能;...8. 文件上传、消息推送、支付接口接入等功能实现 9.
javaweb网上淘书吧源码
05-14
该项目是一个二手书交易网站,提供二手书上架、交易、评价等功能,分为买家前台、卖家前台、管理后台三部分。...7. 文件上传、支付接口接入等功能实现 8. 数据库读写分离、图片延迟加载等技术使用 该项目实现了一个二
汉光 电力监控系统在企业供配电系统中的应用 .pdf
06-19
采集通讯接口是系统网络构成的纽带,完成主站监控管理和现场设备间隔之间的实时信息传输交换,完成现场电力仪表、保护自动化装置的接入,实现通讯接口物理介质和协议规约的转换、接入。通信接口设备包括通讯...
开奖API调用.txt
09-03
实际开发中,当前端和后端有数据交互时,前端开发人员都会直接向后端询问接口,而不会问他具体的实现,比如APP上需要展现目前天气,那么前端开发直接接入一个天气查询接口就行。另外接口的开放可以帮助第三方应用...
基于 springboot、ant-design-vue 的开源框架+源代码+文档说明
最新发布
11-29
以Spring Framework为核心容器,Spring data Jpa(Hibernate实现)为数据访问, Apache Shiro为权限框架,Redis对常用数据进行缓存,前端使用Vue全家桶,前后端分离、JWT鉴权的开源框架。 角色的功能权限控制方式为...
接入交换机、汇聚交换机和核心交换机的区别
热门推荐
06-09 3万+
本文主要介绍接入交换机、汇聚交换机以及核心交换机的区别,在了解它们的区别之前,先来了解下这三种交换机的名称是不是交换机的分类以及接入、汇聚以及核心,这样更方便于您了解这三种交换机之间的区别。 接入交换机、汇聚交换机和核心交换机是交换机的分类吗? 接入交换机、汇聚交换机、核心交换机并非是交换机的分类和属性,它们没有固定要求,主要看网络环境的大小、设备的转发能力以及在网络结构中所处位置。例如,同一个二交换机在不同的网络结构中,可能用在接入,也可能用在汇聚。当用在接入..
接入架构
qq_31201351的博客
04-15 610
接入架构 sfdfsdsdd
后台开发技术(2)--接入设计
weixin_30713953的博客
11-10 620
通常把跟客户端直连的服务器称为接入服务器,一个或多个接入服务器构成的接入接入有以下功能: 维护与客户端之间的网络连接,管理客户端的网络状态。 接收客户端请求,将请求转发到业务,转发业务发给客户端的数据。 就近接入,负载均衡,优化网络体验。 这里可以发现,如果把接入跟业务合并也可以实现以上的功能,而且节省了实现功能2需要的工作量,根据简单性原则,接入不应该被独立出来。...
一文正确理解 分架构系统 的接入设计,以及接入设计常见的问题和解决方案(雪崩、降级、限流、熔断)
JMW1407的博客
07-15 4779
架构系统之接入分布式架构设计之接入1、定义2、优势3、技术方案3.1、考虑的问题(负载均衡和高可用)3.2、设计方式3.2.1、单个IP地址接入3.2.2、多个IP地址随机接入4、常见技术方法4.1、反向代理4.2、负载均衡4.3、限流4.4、降级4.5、 熔断4.6、 超时4.7、防雪崩参考 分布式架构设计之接入 1、定义 把跟客户端直连的服务器称为接入服务器,一个或多个接入服务器构成的接入接入作为用户(包括内部用户和外部用户)与关键服务器的隔离,直接接收用户的请求,并转发给应用服
[LTE] 接入与非接入
轻舞飞扬
12-08 7134
接入与非接入
网络工程基础框架3次模型 ,1接入2 汇聚 3核心
燕皇槟枳的博客
05-13 8277
CISCO有自己的3次模型 1,接入 2,汇聚 3,核心 区别:通常将网络中直接面向用户连接或访问网络的部分称为接入,将位于接入和核心之间的部分称为分布或汇聚接入交换机:接入交换机一般用于直接连接电脑 汇聚交换机:一般用于楼宇间汇聚相当于一个局部或重要的中转站 核心交换机:核心相当于一个出口或总汇总。 原来定义的汇聚的目的是为了减少核心的负担,将本地数...
解读|阿里云IoT亿级设备接入如何建设实践
HaaS技术社区的博客
08-16 1211
一、前言 不同的接入 互联网的产品基本都需要解决终端的接入问题,每个接入会因为终端数量、终端能力、网络环境等不同的因素有各自的设计特性,比如:淘宝网需要解决海量短连接问题、微信需要解决海量长连接问题,同时大家都要解决移动网络问题,那么阿里云IoT物联网接入需要解决的是什么?在回答这个问题之前,先来看看物联网的特性 物的特性不同 "物"的种类非常多,应用场景、成本各不同,比如水表一般安装在户外,一般采用电池供电,这种设备对能耗的要求非常苛刻,比如基站铁塔的后备电源,一般安装在荒野,这...
应用架构之接入原理
weixin_30616969的博客
01-23 2609
应用的接入通常需要承载大量的网络请求,有些互联网企业几十万PV请求,在软件负载均衡无法支撑的情况下会考虑采用硬件负载均衡的技术帮助控制流量,然后再转发给软件负载均衡进行进一步的分发。 要点: 什么是硬件负载均衡? 硬件负载均衡的优缺点是什么? 使用的注意事项以及应用的场景? 硬件负载均衡器实现哪些功能? 什么是硬件负载均衡? ...
接入入手,设计高并发的微服务架构?
架构师的成长之路的博客
05-06 7652
更多干货分布式实战(干货)spring cloud 实战(干货)mybatis 实战(干货)spring boot 实战(干货)React 入门实战(干货)构建中小型互联网企业架构(干货)python 学习持续更新ElasticSearch 笔记kafka storm 实战 (干货)对于静态资源来讲,其实在真实的访问机房内的对象存储之前,在最最接近用户的地方,可以先通过 CDN 进行缓存,这也是高...
前端 sentry 接入钉钉机器人
07-28
可以通过以下步骤将 Sentry 接入钉钉机器人: 1. 在钉钉群组中创建一个自定义机器人,并获取到该机器人的 Webhook 地址。 2. 在 Sentry 项目中选择 "Project Settings"(项目设置)。 3. 在 "Integrations"(集成...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值