サイトにアップロードするファイルのコンテンツタイプを制限する必要があるのはなぜですか？

ファイル自体には固有の「コンテンツタイプ」がないことに注意する必要があります。ファイルはバイトの集まりであり、名前があります。 Webサーバーからファイルをダウンロードするとき、サーバーはinfersコンテンツタイプ（「application/pdf」など）を見つけることができる手がかりから、主にいわゆる「拡張子」（ファイル名の最後の数文字、たとえば ".pdf "はPDFファイル）を示し、ファイルの内容自体も示す場合があります。たとえば、WebサーバーがHTMLファイルを配布する場合、ファイルヘッダー内で"次のように、Content-typeのデフォルトの選択をオーバーライドするmeta "タグ：

<head>
<meta http-equiv="content-type" content="text/html;charset=UTF-8" />
</head>

したがって、サーバー上で2つの操作を行います。アップロードとダウンロードです。アップロードはほとんど安全です。ファイルが来て、保存されます。ダウンロードは心配になる可能性があります。管理者がファイルをダウンロードするときは、Webブラウザー内のリンクをクリックしてダウンロードします。前述のように、Webサーバーはコンテンツタイプを推測します。次に、Webブラウザーはcontent-typeを使用して、ダウンロードしたファイルをどうするかを決定します。これは、必ずしも「ユーザーにどこかに保存するように勧める」とは限りません。たとえば、誰かが.htmlファイル、WebブラウザーはそれをHTMLとして解釈し、それを表示し、おそらくその中にあるJavascriptを実行します。さらに、ファイルは独自のサーバーから取得されるため、管理者のWebブラウザーがデフォルトでそのファイルを信頼する可能性があります。その時点でさまざまな厄介なことが起こるかもしれません。

したがって、コンテンツタイプをフィルタリングする必要がありますその下ダウンロード時にファイルを提供します。また、ファイルが管理者システムに保存されたばかりの場合でも、.exeファイルをクリックすると、管理者が実行するファイル。

さらに、サーバーにあらゆる種類のファイルを表示させることは、攻撃を悪用する間接的なツールになる可能性があります。攻撃者がサーバー上の任意のファイルの実行を強制することができるいくつかのセキュリティホールがあります。フィルタリングされていないアップロードメカニズムにより、攻撃者は最初にサーバー上で実行させたい実行可能ファイルの種類を正確にプッシュできます。