1
在我的應用程序用戶可以上傳,我不直接存儲在任何地方一個CSV文件,他們只解析,所以我的進口商班上ActionDispatch :: HTTP :: UploadedFile的對象,然後調用#tempfile
就可以訪問tempfile並解析它。上傳文件,臨時文件和漏洞
我仍然擔心在the "File Uploads" section of guides列出的漏洞?
在我的應用程序用戶可以上傳,我不直接存儲在任何地方一個CSV文件,他們只解析,所以我的進口商班上ActionDispatch :: HTTP :: UploadedFile的對象,然後調用#tempfile
就可以訪問tempfile並解析它。上傳文件,臨時文件和漏洞
我仍然擔心在the "File Uploads" section of guides列出的漏洞?
我懷疑你仍然容易受到拒絕服務攻擊,如果你的Web請求解析裏面。沒有看到有問題的代碼,我不能肯定地說,你是從路徑擴展安全(例如,「../../some/secret/file」),在該說明中概述。也就是說,如果所有的文件處理由機架/ ActionDispacth做,你不路徑直接打交道,我懷疑你是安全的。
我通過PARAMS [:文件] .pathfile到進口商:[ClockworkTomatoImporter](https://github.com/ravicious/tomatostats/blob/77936ccab63f6e04446bfbe5ec030018ecc190e6/app/importers/clockwork_tomato_importer.rb)<[進口商]( https://github.com/ravicious/tomatostats/blob/77936ccab63f6e04446bfbe5ec030018ecc190e6/app/importers/importer.rb),[imports_controller](https://github.com/ravicious/tomatostats/blob/77936ccab63f6e04446bfbe5ec030018ecc190e6/app/controllers/imports_controller .RB)。 –
至於移動網絡請求解析:是的,這絕對是我必須做的事情。此外,一些基本的保護來解析非常大的文件。 –