这里不是一个编码问题,而是一个与安全性有关的一般问题。我目前正在开发一个允许用户提交内容的项目。该内容的一个关键部分是用户上传一个 Zip 文件。zip 文件应仅包含 mp3 文件。
然后我将这些文件解压缩到服务器上的一个目录,这样我们就可以在网站上流式传输音频供用户收听。
我担心的是,这为我们打开了一些可能具有破坏性的 zip 文件。我过去读过“zipbombs”,显然不希望恶意 zip 文件造成损坏。
那么,有没有一种安全的方法来做到这一点?我可以在不先解压缩的情况下扫描 zip 文件吗?如果它包含 MP3 以外的任何内容,请将其删除或向管理员发出警告?
如果它有所作为,我正在 Wordpress 上开发该网站。我目前使用 wordpress 的内置上传功能让用户将 zip 文件上传到我们的服务器(我不确定 wordpress 中是否有任何形式的安全措施来扫描 zip 文件?)