私は今JavaとApacheTomcatで動く掲示板のようなWebアプリを作っています。
掲示板としての機能は完成し、動作することも確かめました。

現在、そこに画像アップローダーを付けてユーザが画像をアップできる仕組みを作れないかと考え、Web上で検索して、いくつかの例を見つけてその内で一つをサンプルとして（保存先フォルダなど多少変更を加えて）作ってみました。以下が参照元コードです。

実際に動かしてみると、問題なくファイルがアップロードされましたが、セキュリティ面が多少心配でまだアップローダ制作に踏み切れずにいて、色々検索しているという状況です。

そこで質問なんですが、このアップローダでセキュリティ上対策すべき点があるとすればどういった点が考えられますでしょうか？

参照。

• https://qiita.com/ohke/items/bec00a69d3f538aab06b

JSP/サーブレット ファイルアップロードの実装

該当のソースコード

jsp側省略。

Java
1import java.io.IOException;
2import javax.servlet.ServletException;
3import javax.servlet.annotation.MultipartConfig;
4import javax.servlet.annotation.WebServlet;
5import javax.servlet.http.HttpServlet;
6import javax.servlet.http.HttpServletRequest;
7import javax.servlet.http.HttpServletResponse;
8import javax.servlet.http.Part;
9
10@WebServlet("/UploadServlet")
11@MultipartConfig(location="/tmp", maxFileSize=1048576)
12public class UploadServlet extends HttpServlet {
13    @Override
14    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
15        Part part = request.getPart("file");
16        String name = this.getFileName(part);
17        part.write(getServletContext().getRealPath("/WEB-INF/uploaded") + "/" + name);
18        response.sendRedirect("jsp/upload.jsp");
19    }
20
21    private String getFileName(Part part) {
22        String name = null;
23        for (String dispotion : part.getHeader("Content-Disposition").split(";")) {
24            if (dispotion.trim().startsWith("filename")) {
25                name = dispotion.substring(dispotion.indexOf("=") + 1).replace("\"", "").trim();
26                name = name.substring(name.lastIndexOf("\") + 1);
27                break;
28            }
29        }
30        return name;
31    }
32}