我正在使用hapi.js创建一个Web应用程序,该应用程序允许用户上传图像。我正在客户端和服务器中验证上传的图像,以仅允许.jpg / .jpeg,.png和.gif文件。但是,我是Web应用程序安全性的新手,在图像清理方面,我有些失落。
我正在尝试遵循这些OWASP Upload Verification准则:
这些是我的问题:
sharp之类的包运行每个上传的图像,重写过程将删除任何嵌入式代码吗? sharp的作者做了一个简短的comment on security,但我仍然不了解可能存在的安全问题或如何解决这些问题。 Buffer cannot execute malicious code。如果我将文件作为Buffer对象输入sharp中,是否可以删除任何恶意代码并消除可能的安全性问题?clamscan或node-virustotal或Web Exploit Detector)运行上传的图像?如果是,我是否需要在通过图像处理器运行图像之前或之后通过扫描运行图像?还是应该在不进行图像处理的情况下进行扫描?我真的很想更好地理解Web应用程序的安全性(特别是对于Node应用程序),因此,您可以就这些问题给我任何指导(或者我可以去学习更多的地方),将不胜感激。
谢谢!