只检查扩展名无法阻止伪装文件和资源消耗。真正处理“文件上传要按不可信输入处理”时,需要同时看用户目标、业务约束和实现成本,而不是孤立地调整一个页面或组件。技术方案的价值要在真实流量、异常条件和后续维护中才能被验证。
不要一开始就追求完整方案。先把第一项做扎实:验证真实类型、大小和内容。随后明确本轮边界:使用随机文件名并存放在不可执行位置。最后完成落地闭环:对图片重编码并限制下载响应头。这样能让投入与结果保持可追踪。
验收时应回到一个直接问题:系统是否稳定、安全、可恢复,并且能被当前团队持续维护。可以结合性能、错误率、变更失败率、恢复时间、安全事件和维护成本观察变化,同时记录不适用的场景和仍待确认的假设。