最近工作内容涉及到一点前端的内容,把学习到的内容记录下来,在今后的开发过程中,不要犯错。本篇只针对一些刚入职的小白及前端开发人员,大牛请绕道!~
刚开始我们先不讲上传文件的防范问题,先通过一个例子,让大家了解其中的危害。
先给大家看一个简单的页面,细心的小伙伴已经发现了,这个上传的按钮是禁用状态的
接下来我们查看代码(代码比较简单)
现在我们不拿人家源码的情况下,直接将源码修改掉,将按钮禁用状态解除
注:方法比较简单,直接查看鼠标右击-->检查,找到那行禁用的代码,删掉即可
修改前:
修改后:
好了,前面只是热热身,只能防范一些不懂技术的人,对我们这群开发人员不管用。假设来一些骚的操作,写一个脚本,上传到服务器后,删库,后果可想而知。再次也希望开发人员在开发的过程中不要犯这种低级错误!!!
言归正传,下面开始将上传文件的三大处理范式
范式一(前端校验):
注:当然用户本地可以禁用JS,在此先不讨论这些!~
范式二(后端处理):
方式三(ISS处理):
注:防不胜防,世上总有牛逼的人,已经突破前两道防线,直接来到第三道防线
