Alguns WAF’S conseguem analisar metadata de arquivos e validar se possuem código malicioso, você também pode permitir que seu servidor
web forçe o navegador a desabilitar o MIME Sniffing para o arquivo exibido:
X-Content-Type-Options: nosniff

A imagem utilizada foi essa:

https://vulnerabledoma.in/bypass/usercontent/icon.jpg

recomendo

https://geekflare.com/http-header-implementation/

Written by

Pentester , CTF player, Bug Hunter & Security Researcher \nTwitter: https://twitter.com/elber333

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store