在我的应用程序中,用户可以上传我没有直接存储在任何地方的csv文件,它们只被解析,所以我的导入器类接收ActionDispatch :: Http :: UploadedFile对象,然后我调用#tempfile on它来访问临时文件并解析它。
我是否还要担心the "File Uploads" section of guides中列出的任何漏洞?
答案 0 :(得分:1)
如果您在Web请求中进行解析,我怀疑您仍然容易拒绝服务。在没有看到有问题的代码的情况下,我无法肯定地说明了你对该说明中概述的路径扩展(例如“../../some/secret/file”)的安全性。也就是说,如果所有文件处理都是由Rack / ActionDispacth完成的,并且你没有直接处理路径,我怀疑你是安全的。