Отчасти да,но возможны варианты.
Ведь одно из принципиальных отличий атак с poliglot в том ,что не требуются после загрузки файла сторонние программы для вызова содержимого.
Смысл в превращении типа обычного файла в переменную javascrypt с присвоением нагрузки.
Если скрипт к примеру будет иметь такой вид
,то пользователь через браузер будет видеть изображение.
А если к скрипту добавляется такой элемент
,то вместо изображения будет выполняться скрипт.