Наша облачная система была недавно подвергнута ручному тестированию. Один из флагов, поднятых в отчете, относится к форме загрузки, которая «допускает загрузку произвольных данных». Даже когда они ограничены изображениями (обнаруживаются в основном расширениями и PHP, встроенными в обнаружение пантомимы), они по-прежнему обеспокоены 1) скрытым вредоносным ПО или 2) атаками XSS, встроенными в сами изображения.
Как можно защититься от этих векторов?
Изменить: предложенный дубликат не применяется, потому что —
Изображение со встроенным XSS будет по-прежнему проверяться с помощью обычных проверок (например, оно может быть скрыто в разделе комментариев gif-файла). Кроме того, проверка размера изображения уже является одной из проверок, но исследования покажут, что она не надежна для такого использования.
Задача ещё не решена.
Других решений пока нет …