Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 5
Хабр съел все буковки 'x'. Уэ тэ эф?
Я бы не сказал, что доверять заголовку Content-type — плохая идея и вообще не имеет смысла. В конце концов, URL может и не содержать нужного расширения вообще. Какой-нибудь example.com/avatar.php?id=12345
Скорее, тут следовало бы на основе принятого Content-type присвоить сохраняемому файлу правильное расширение. В идеале — взять настройки веб-сервера по преобразованию расширения в mime тип — и применить это преобразование в обратном порядке.
Но сойдет и простое неизменяемое преобразование
Скорее, тут следовало бы на основе принятого Content-type присвоить сохраняемому файлу правильное расширение. В идеале — взять настройки веб-сервера по преобразованию расширения в mime тип — и применить это преобразование в обратном порядке.
Но сойдет и простое неизменяемое преобразование
image/jpeg -> .jpg. Вряд ли кто-то будет обрабатывать .jpg как text/html, а кто так сделает — сам и виноват.Да, именно. Так работают аналоги (Carrierwave). Изначально сохранять с оригинальным именем это плохая идея.
Ну и более того я считаю адаптеры надо подключать мануально.
Ну и более того я считаю адаптеры надо подключать мануально.
Carrierwave из коробки так не делает, но для него есть github.com/deviantech/carrierwave-mimetype-fu
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Уязвимость в Paperclip (XSS/RCE)