ruby-on-rails - 上传文件、临时文件和漏洞

Question

在我的应用程序中，用户可以上传我不直接存储在任何地方的 csv 文件，它们只是被解析，所以我的导入器类接收 ActionDispatch::Http::UploadedFile 对象，然后我调用#tempfile它来访问临时文件并解析它.

我还需要担心指南的“文件上传”部分中列出的任何漏洞吗？

Answer 1

如果您在 Web 请求中进行解析，我怀疑您仍然容易受到拒绝服务的影响。在没有看到有问题的代码的情况下，我不能肯定地说您可以免受该注释中概述的路径扩展（例如，“../../some/secret/file”）的影响。也就是说，如果所有文件处理都由 Rack/ActionDispacth 完成，并且您没有直接处理 path ，我怀疑您是安全的。