3
我正在實現一種方法來限制運行Python 3.4的Django 1.8上的文件上載。Django識別文件模式
基本上,我想在使用mimetypes上傳文件時檢查它們的MIME類型。但是,當我操縱bad_image.exe到bad_image.exe.jpg的文件名時,MIME類型仍然是image/jpeg。這仍然可能導致惡意攻擊。
有沒有一種方法來實際執行這個?
A
回答
0
您可以通過設置禁止的MIME類型黑名單來反向執行檢查。然後,對於這些MIME類型中的每一種,使用例如
mimetypes.guess_all_extensions('application/x-msdownload')
產生一個可能的惡意擴展列表,然後您可以在上傳的文件名中進行搜索。
警告。
依靠文件名和MIME類型來抵禦惡意上傳是not safe practice。至少,沙盒用戶在單獨的域中上傳可以防止任何惡意代碼滑過防禦系統攻擊您的網站。
相關問題
- 1. 模式識別
- 2. 模式識別
- 3. 模式識別?
- 4. 模式識別
- 5. 識別模式
- 6. Pybrain模式識別
- 7. Kinect模式識別
- 8. 模式識別Hopfield
- 9. 識別Excel模式
- 10. 模板上下文無法從外部文件識別(Django)
- 11. 文件無法識別:文件格式無法識別
- 12. loop_apply.o:無法識別文件:無法識別文件格式
- 13. gcc - 無法識別的文件:文件格式不被識別
- 14. 圖像識別模式識別
- 15. Django/VersatileImageField:IOError - 無法識別圖像文件
- 16. Django PIL:IOError無法識別圖像文件
- 17. Django項目不識別SCSS文件
- 18. (幫助)Django模型窗體不識別圖像文件
- 19. .htm文件在django-sentry中被識別爲模板
- 20. 在VS代碼中識別爲Django模板的HTML文件
- 21. 識別文件
- 22. 識別文件
- 23. 模式識別 - 「這是一種模式?」
- 24. 識別文本文件中的「圖形」模式
- 25. Shell腳本模式識別
- 26. 數字模式識別?
- 27. 模式識別算法
- 28. 信內信,模式識別
- 29. UriMatcher無法識別模式
- 30. 日誌的模式識別
我編輯了你的問題,但我仍然不明白投訴背後的邏輯,當你從'.exe'改成'.jpg'時,它仍然是'image/jpg' ...我想你需要澄清你做了什麼以及你的期望是什麼。 – techraf
所以我只是簡單地將'.exe'文件重命名爲'.jpg'文件,例如'bad_code.exe'重命名爲'bad_code.exe.pdf'。我想正確識別這個文件的擴展名。 – bryansis2010
可能沒有一個正確的擴展名。文件可以是多邊形文件,即同時有多種格式。然後解釋取決於上下文。有關更多信息,請參閱https://events.ccc.de/congress/2014/Fahrplan/system/attachments/2562/original/Funky_File_Formats.pdf。 –