最近一个项目,渗透测试出来的结果.
前端限制了只能是图片格式上传,但是 比如原本是.jsp格式的文件直接修改后缀名成 .png 于是前端拦截不到这个文件,再通过burp suite抓包更改 .png文件为 .jsp 这样的方式可以直接上传到服务器,并且后缀名为 .jsp.... 但是我后端限制了后缀名图片格式为.png(举例),那么这个 .jsp会被后端拦截 ,这会还需要做mime-type格式的判断吗?
从后端的角度看,前端所有操作都是违法的,必须检测。主要就是防止爬虫瞎操作。
写代码的时候,能前后端校验的一定都要校验,哪怕前端后端重复校验,这也是值得的,为了系统的稳定性和健壮性考虑
判断,这是开发的一个原则,我本人曾经因为这一细节被前辈批评过