Python 限制PIL图像加载的格式
为了减少网站上可能的攻击向量数量,将Python Imaging Library可以读取的格式限制为已知良好的编解码器集(GIF、JPEG、PNG)的最佳方法是什么 这样,用户就无法提交更奇特的格式,也无法利用可能的编解码器漏洞进行缓冲区溢出等类似攻击Python 限制PIL图像加载的格式,python,python-imaging-library,Python,Python Imaging Library,为了减少网站上可能的攻击向量数量,将Python Imaging Library可以读取的格式限制为已知良好的编解码器集(GIF、JPEG、PNG)的最佳方法是什么 这样,用户就无法提交更奇特的格式,也无法利用可能的编解码器漏洞进行缓冲区溢出等类似攻击 最好是在运行时。在将文件/缓冲区传递给PIL之前,您可以使用检查接受的mimetype。您使用什么让用户选择要提交的文件?是浏览文件弹出窗口还是只在此处输入url文本框?为什么不在那里而不是在PIL中截取不需要的文件?@Junuxx进行客户端检查
最好是在运行时。在将文件/缓冲区传递给PIL之前,您可以使用检查接受的mimetype。您使用什么让用户选择要提交的文件?是浏览文件弹出窗口还是只在此处输入url文本框?为什么不在那里而不是在PIL中截取不需要的文件?@Junuxx进行客户端检查并不能保护您的服务