アップロードファイルのサイズをbottlepyで安全に確認するには？

Question

メモリを使用しているので、私は実際にはread()の操作を恐れています。たとえば、誰も1GBのファイルをアップロードして自分のサーバーをDDoSできますか？

name = request.forms.get('name') 
data = request.files.get('data') 
if name and data.file: 
    raw = data.file.read() # This is dangerous for big files 
    filename = data.filename 
    return "Hello %s! You uploaded %s (%d bytes)." % (name, filename, len(raw)) 

アップロードされたファイルサイズを取得する安全な方法はありますか？ 1つは、ファイルシステムからファイルサイズを取得することです。 request.files.get('data')はおそらくtempファイルのどこかに格納されていますか？

Answer 1

データのチャンクを一度に読み取ることができるかどうかを確認できますか。

これは、可能な場合：

name = request.forms.get('name') 
data = request.files.get('data') 
raw = "" 
if name and data.file: 
    while True: 
     datachunk = data.file.read(1024) 
     if not datachunk: 
      break 
     raw = raw + datachunk 

    filename = data.filename 
    return "Hello %s! You uploaded %s (%d bytes)." % (name, filename, len(raw)) 

これが可能であれば、あなたも、あなたが読んで、超えた場合は、この操作を中止する方法大きなファイルの追跡メカニズムを追加することができるはずです。

どのようにこれはDDOSの可能な方法の1つのみを解決します。

Answer 2

これは興味深い質問です。通常は、ファイルオブジェクトの統計を取得するか、os.pathを使用してサイズを取得します。 This questionについては前に説明しました。

しかし、アップロードに時間を費やす前に、クライアント側のファイルサイズをサーバーからどのように伝えるかを尋ねています。私はこれを行う最善の方法はwith JavaScriptだと思います。 This questionでは、BottlePyアプリケーションにJavaScriptコードを取得する方法を紹介しています。

入力を検証するためにJavaScriptを使用して、サーバーコードでファイルが制限内にあると想定できるようにします。これを理解したら、BottlePyの人々にこれを直接BaseRequest.filesサポートに追加するように頼むことをお勧めします。