Проверка законности изображений (обнаружение вредоносного ПО / встроенного XSS)

Наша облачная система была недавно подвергнута ручному тестированию. Один из флагов, поднятых в отчете, относится к форме загрузки, которая «допускает загрузку произвольных данных». Даже когда они ограничены изображениями (обнаруживаются в основном расширениями и PHP, встроенными в обнаружение пантомимы), они по-прежнему обеспокоены 1) скрытым вредоносным ПО или 2) атаками XSS, встроенными в сами изображения.

Как можно защититься от этих векторов?

Изменить: предложенный дубликат не применяется, потому что —

Изображение со встроенным XSS будет по-прежнему проверяться с помощью обычных проверок (например, оно может быть скрыто в разделе комментариев gif-файла). Кроме того, проверка размера изображения уже является одной из проверок, но исследования покажут, что она не надежна для такого использования.