文件类型验证
    检验上传文件的后缀名,根据需求设定允许上传文件类型白名单。
    检查文件头信息,判断文件类型。
    限制文件大小。
    在服务端进行安全检查,避免利用客户端传入的信息作为检查依据。
    文件存储安全
    上传文件保存在中间件不可解析的目录,如文件服务器。
    尽可能对上传文件重命名,如果不能做到这一点,应该保证上传的文件名不包括特殊字符,新建的目录应该保证目录名不包含特殊字符。