Como se sabe, las versiones anteriores de MSIE (antes de las 8) tienen el desagradable hábito de tratar las imágenes como HTML si "parecen" HTML, lo que puede generar vulnerabilidades desagradables en los sitios que permiten a las personas subir imágenes. A pesar de que está arreglado en IE8, todavía hay una gran cantidad de IE7 y antes, por lo que debe abordarse. Entonces, la pregunta es, ¿cuál es la mejor manera de abordarlo, dado:
- sitio PHP con archivos subidos
- No recodificar imágenes (es decir, no se pueden usar cosas como ImageMagick)
- Se debe permitir el acceso directo a las imágenes
- No podemos prohibir que las personas utilicen la extensión "incorrecta"
Verificando los primeros 256 bytes para algo como < (html | body | img | script | head) > ¿bastar? ¿Alguna forma mejor de hacerlo?