ファイルアップローダーのファイルタイプを確認してファイルがイメージ(jpg、png)であるかどうかを確認し、FileReaderでファイルのマジックナンバー(4バイト目)を読み取ることにしましたが、この方法について:マジックナンバーでファイルタイプを確認する
この方法は安全ですか?この方法でjpgファイル以外のファイルをアップロードする方法はありますか?
2、4、6バイトなどの異なるマジックナンバーのファイルタイプを見たことがあります。イメージファイルタイプだけでなく、他のタイプのファイルタイプも判別する必要がある場合は、ファイルから最大のバイト数(最大のマジックナンバーを判断する)を読んでください。
jpgファイルは「安全」で、非jpgは「安全でない」とはどうしてですか? – melpomene
https://github.com/DarthSim/carrierwave-bombshelter < - 最初の段落。それはイメージでできることの例です。しかし、たとえばファイル拡張子のみに基づいて検証を設定すると、誰でも実行可能ファイルなどの名前を変更できます。 – Elo
これはどのように適用されますか?デフレートされたイメージボムは完全に有効なイメージファイルです。そして、実行ファイルの名前を変更すると何が問題になりますか? – melpomene