Cloudinary是否会阻止任意文件上传?

时间:2014-05-23 21:31:26

标签: ruby-on-rails security cloudinary

@cloudinary做了什么来防止恶意用户通过客户端图像API上传任意文件?是否有任何配置可确保阻止任意文件上传?

2 个答案:

答案 0 :(得分:0)

如果您使用Cloudinary的上传器,则可以在upload()中指定允许的文件类型:

Cloudinary::Uploader.upload('image.jpg', allowed_formats: ['jpg', 'jpeg', 'gif', 'png'])

如果您使用CarrierWave,则可以将允许的文件类型列入白名单。例如:

class ImageUploader < CarrierWave::Uploader::Base
  include Cloudinary::CarrierWave

  def extension_white_list
    %w(jpg jpeg gif png)
  end
end

答案 1 :(得分:0)

您可以设置上传预设并将其设置为默认上传预设。这可以在您的上传设置页面中定义: https://cloudinary.com/console/settings/upload

上传预设可以包含许多与上传相关的参数,例如允许的格式,传入的转换,急切的转换等等。

这样,无论用户是否更改了客户端代码,都只允许上传预设中定义的允许格式进行上传。