Testa säkerheten på sidan (ja det är min sida).

Oj hjälp.

Tydligen var det mycket mer kvar att göra än vad jag trodde.

Men okej, getimagesize() verkade ju inte som en bra lösning då man kunde gå runt det.
Vad kan man göra åt saken annars då?

Du kan servea dem som octet-stream och med content-disposition: attachment. Då laddas de ner istället för att visas i webbläsaren.

Det mest grundläggande XSS-problemet är att man t.o.m kan ladda upp HTML-resurser. Det påverkar alla webbläsare, inte bara IE.

http://ghosthost.mine.nu/files/demo/a.html

Samma gäller för andra XML-resurser inklusive e.g. SVG.

Man bör endast kunna komma åt filerna för nedladdning från en annan host. Helst en annan domän.

smokey_and_the_bandit...

Gillar framsidan med spöket

Jo det funderar jag också på.
Det får nog bli så också, ska ändå bygga om hela systemet en aning.