文件上傳校驗

㈠ 文件上傳漏洞

在上網的過程中，經常會將一些如圖片、壓縮包之類的文件上傳到遠端伺服器進行保存。文件上傳攻擊指的是惡意攻擊者利用一些站點沒有對文件的類型做很好的校驗，上傳了可執行的文件或者腳本，並且通過腳本獲得伺服器上相應的權利，或者是通過誘導外部用戶訪問、下載上傳的病毒或木馬文件，達到攻擊的目的。為了防範用戶上傳惡意的可執行文件和腳本，以及將文件上傳伺服器當做免費的文件存儲伺服器使用，我們需要對上傳的文件類型進行白名單（非黑名單，這點非常重要）校驗，並且限制上傳文件的大小，上傳的文件需要進行重新命名，使攻擊者無法猜測到上傳文件的訪問路徑。
對於上傳的文件來說，不能簡單地通過後綴名稱來判斷文件的類型，因為惡意攻擊可以將可執行文件的後綴名稱改成圖片或者其他後綴類型，誘導用戶執行。因此，判斷文件類型需要使用更安全的方式。很多類型的文件，起始的幾個位元組內容是固定的，因此，根據這幾個位元組的內容，就可以確定文件類型，這幾個位元組也被稱為魔數( magic number)。

㈡ elementUI+el-upload 上傳文件大小與文件類型校驗

elementUI+el-upload 上傳文件大小與文件類型校驗
https://blog.csdn.net/weixin_38659265/article/details/89447469

elementUI+Vue 驗證上傳文件的類型
https://www.jianshu.com/p/49e90bea086c

1)嵌入組件

2）第一種文件類型校驗
直接在el-upload中加上下面這一行就好，這適用於文件類型比較常見的，文件類型可選擇性比較少時

3）第二種適用與校驗文件類型比較多時，可以在beforeUpload方法中進行過濾：

4）文件大小校驗

可以在beforeUpload方法中進行過濾：

5）beforeRemove方法中需要把不符合大小的文件自動移除