我有一个简单的Web应用程序,用于在浏览器中处理图像文件。
完全是客户端。我对此处的操作安全性有一些疑问:Is this client side application secure?
我想验证文件,以确保仅允许上传允许的格式。我将上传内容放在引号中,因为我想重复一遍,一切都发生在JavaScript的客户端。
专门用于PNG文件
我正在学习png文件的结构,正在考虑使用fileReader对象和方法readAsArrayBuffer()来读取png文件的字节,以便可以评估前8个字节标头(137 80 78 71 13 10 26 10)以及块类型(例如IHDR,IDAT,IEND等)和CRC。实际上,我已经这样做了,但它不是我的Web应用程序的一部分。基本上,当用户尝试“上传”文件时,我的应用程序会检查该文件的某些关键字节并大致确定“确定”,这是一个png文件。可以使用此文件。”
这将是足够好的验证吗?
我之所以采取这种预防措施,甚至就整个客户端而言,都是为了保护毫无戒心的最终用户,他们可能会“上传”一个看起来像png的文件,但实际上却包含一些有害的脚本。 / p>
如果这还不够,我希望有人可以指出我的方向,以便我知道什么构成了正确的验证。