这与关于拉链炸弹的问题有关,但考虑到gzip或bzip2压缩,例如接受.tar.gz文件的Web服务.
.tar.gz
Python提供了一个方便使用的方便的tarfile模块,但似乎没有提供针对zipbombs的保护.
在使用tarfile模块的python代码中,检测zip炸弹的最优雅方法是什么,最好不要从tarfile模块中复制过多的逻辑(例如透明的解压缩支持)?
而且,只是为了简化它:不涉及真正的文件; 输入是一个类似文件的对象(由Web框架提供,表示用户上传的文件).
python security gzip bzip2
bzip2 ×1
gzip ×1
python ×1
security ×1