他们说的是以下内容：

• 上传页面不强制文件扩展名，并允许您上传扩展名为.aspx.
• 您可以在 JPEG 的 EXIF 注释标签中嵌入代码，它会在调整大小过程中继续存在（即注释标签不会被剥离）
• 查看文件时，服务器将文件数据解析为普通的 ASPX 页面。服务器输出EXIF标签前的二进制数据，看到<%后执行EXIF注释标签中的代码，找到后停止解析%>，然后输出剩下的二进制数据。

我不确定这是否真的有效，因为我没有测试过，但它听起来是合法的。类似的技巧适用于 PHP，任何允许您上传带有扩展名的图像的文件上传系统.php都将允许您通过注入 EXIF 标签来利用<?php /* code here */ ?>它们。