问答 / 解决方案 / 解决方案详情

不仅仅依赖后缀，PHP后端如何校验上传的文件是不是一张图片？

后端 2022 238次浏览

通常我们校验上传的文件是否是一张图片时，仅会检查它的后缀是不是jpg/png/gif等。但是这种方式是不可靠的。

比如，我们可以把一个脚本.js 脚本通过更改后缀的方式改为：脚本.jpg

可怕的是，在部分浏览器上，这个脚本.jpg还会被解析执行。这样就造成了XSS攻击。

如何防范呢？

| 0 收藏

悬崖之上
2019-04-26 发布

解决方案

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

只服务于

前后端、移动端、测试人员

发布解决方案发布您遇到的Bug和解决方案，成为大神，让众人膜拜吧！

不仅仅依赖后缀，PHP后端如何校验上传的文件是不是一张图片？

解决方案

评论