文件-解析方案-执行权限&解码还原
1、执行权限 文件上传后存储目录不给执行权限
2、解码还原 数据做存储,解析固定(文件后缀名无关) 文件上传后利用编码传输解码还原
文件-存储方案-分站存储&OSS对象
1、分站存储 upload.xiaodi8.com 上传 images.xiaodi8.com 存储
2、OSS对象 Access控制-OSS对象存储-Bucket对象
访问只是下载,永远只是下载,传上去后门也没用。
如何判断
执行权限:上传后无法访问403【换另目录上传】
解码还原:上传后抓包看RequestURL,是data:image/png;base64,一长串编码符号数据【无解】
分站存储:看图片地址和上传域名不是一样的【无解】
OSS对象:看URL或者去访问一下上传的地址,打开就下载【无解】
安全绕过
以上方案除目录设置权限如能换目录解析绕过外,其他均无解