upload 在使用 key 定义文件名的时候没有校验文件后缀

[bdoycn]

问题:

使用 key 定义文件名时 完全没有对后缀进行校验
可能导致存储型 XSS 漏洞

建议:

配合 midway 的 upload.whitelist 配置进行校验

问题文件

/src/modules/plugin/hooks/upload/index.ts

[cool-team-official]

midway可以配置文件白名单 https://www.midwayjs.org/docs/extensions/upload#%E4%B8%8A%E4%BC%A0%E7%99%BD%E5%90%8D%E5%8D%95

[bdoycn]

midway可以配置文件白名单 https://www.midwayjs.org/docs/extensions/upload#%E4%B8%8A%E4%BC%A0%E7%99%BD%E5%90%8D%E5%8D%95

额 我就是说在设置白名单的情况下 这里没有校验
注意是使用 key 作为命名的情况下 不是 filename

[cool-team-official]

可以提交个pr 看看