1、Rmagick插件中允许的content_type类型
\vendor\plugins\attachment_fu\lib\technoweenie\attachment_fu.rb 5~35行
image/jpeg | image/pjpeg | image/jpg | image/gif | image/png | image/x-png
2、ruby Rmagick content_type、Magick::ImageList.new(file_path).format与图片实际类型及后缀名的关系
3、由1和2得出下表为安全图片
图片的实际类型,后缀名和content_type一致的话,能确保图片不能发动xss攻击。
4、代码
is_safe_image = false
image_real_format = real_content_type(file_path)
is_safe_image = true if "GIF" == image_real_format && "gif" == image_suffix && %q|image/gif| == image_content_type
is_safe_image = true if "PNG" == image_real_format && "png" == image_suffix && %w(image/png image/x-png).member?(image_content_type)
is_safe_image = true if "JPEG" == image_real_format && %w(jpg jpeg jpe jfif).member?(image_suffix) && %w(image/jpeg image/pjpeg image/jpg).member?(image_content_type)
def real_content_type(file_path)
Magick::ImageList.new(file_path).format
end