허용되는 업로드 된 파일 형식을 이미지, pdfs 및 문서로 제한하려고합니다. 이것을 접근하기위한 권장 방법은 무엇입니까?업로드에 허용 된 파일 형식 제한 asp.net
공격자가 원하는대로 파일 확장명을 변경할 수 있기 때문에 파일 확장자만으로는 충분하지 않다고 가정합니다.
또한 PostedFile.ContentType을 사용하여 MIME 유형을 검사하는 방법에 대해서도 생각했습니다.
파일 확장명을 검사하는 것보다 더 많은 기능을 추가할지, 공격자가이 정보를 쉽게 변경할 수 있는지 여부는 여전히 잘 모르겠습니다.
이것은 기본적으로 학생들이 과제물과 교사를 다운로드하고 볼 수 있도록 업로드하는 과정 관리 시스템을위한 것입니다.
감사합니다.
'PostedFile.ContentType'의 값은 공격자가 제어합니다. 이 변수를 검사하지 마십시오. 낭비입니다. – rook