Python requests 如何避免被 Gzip 炸弹攻击

最新推荐文章于 2024-06-06 19:26:04 发布
最新推荐文章于 2024-06-06 19:26:04 发布
阅读量762 收藏 3
点赞数 14
文章标签: python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013528853/article/details/136679929
版权

Gzip炸弹攻击是一种利用无限循环或者其他方式创建非常大体积的压缩数据,当服务器将其解压时会导致内存耗尽,从而引发拒绝服务(DoS)攻击。在使用Python的requests库进行HTTP请求时,可以通过限制响应体大小的方式来防止此类攻击。虽然requests库本身并不会自动解压Gzip格式的数据,但在处理gzip压缩的响应时,Python标准库会负责解压,因此有必要在应用层面加以防御。

以下是一些建议来防范Gzip炸弹攻击:

  1. 限制接收的数据量: 设置stream=True并在读取响应体时限制缓冲区大小,这样可以控制一次性加载的数据量,防止内存溢出。

    Python 
    1import requests
2
3response = requests.get(url, stream=True)
4max_size = 1024 * 1024  # 限制最大接受1MB的数据
5content_length = int(response.headers.get('content-length', 0))
6
7if content_length > max_size:
8    # 忽略过大响应
9    response.close()
10    raise Exception(f"Response size exceeds the maximum allowed limit ({max_size} bytes)")
11
12decompressed_data = b''
13with gzip.GzipFile(fileobj=response.raw) as gzip_file:
14    while True:
15        chunk = gzip_file.read(min(max_size, 4096))  # 按块读取并解压
16        if not chunk:
17            break
18        decompressed_data += chunk

  2. 使用第三方库进行安全解压: 可以使用支持限制解压大小的第三方库,例如smart_open提供的gzip.open函数可以设置一个上限。

  3. 配置HTTP客户端: 虽然requests库自身不直接提供Gzip炸弹防护,但在构建HTTP客户端时,可以在中间件级别做拦截,监控解压后的数据量。

  4. 服务器端配置: 最安全的做法是在服务器端进行防御,限制响应的压缩率或响应体的最大大小。

预防Gzip炸弹攻击更多的是在应用程序设计阶段考虑资源消耗的合理限制,而不是单纯依赖某个库的功能。同时,健全的安全策略应该包括对HTTP响应内容长度的合理预期和限制,尤其是在处理不受信任来源的输入时。

晨曦_子画
关注
Python实现HTTP报文压缩传输
带你成为别人眼中的大佬!
08-10 395
接下来,我们需要了解两种常见的 HTTP 报文压缩方式:gzip 和 deflate。其中,gzip 的压缩效率略高于 deflate,但 deflate 的压缩速度更快。而随着互联网的快速发展,网页上所加载的资源越来越多,HTTP报文体也越来越大。为了优化网络性能,减少网络流量,我们可以通过对HTTP报文体进行压缩,以减少数据传输的大小。通过这种方式,我们可以有效地减少网络传输的大小,提高网页的加载速度,同时也可减少服务器的带宽消耗。库,这是一个 Python 的第三方库,用于发送 HTTP 请求。
第4章-08-用Python Requests库模拟浏览器访问接口
最新发布
黑夜开发者的博客
08-30 3368
使用PythonRequests库模拟浏览器访问接口是一种非常常见的做法,特别是在进行网络爬虫、API测试或自动化脚本编写时。Requests库提供了简单易用的接口,让你能够发送HTTP请求并处理响应。以下是一个基本的示例,展示了如何使用Requests库模拟浏览器(实际上是HTTP客户端)访问一个Web接口。
Gzip轰炸详解与实践
小恒的博客
03-10 1676
Gzip轰炸详解与实践
python处理gzip数据
airgreen的博客
03-22 2万+
通常用gzip压缩过的云端数据需要做解压处理,以下代码主要用python3实现对获取到的云端gzip压缩数据进行还原。# -*- coding: utf-8 -*- """ Spyder Editor This is a temporary script file. """ #! /usr/bin/env python3.6 import requests import gzip def...
python3 发送gzip文件请求
weixin_30299709的博客
05-07 496
#condig=utf-8import requestsimport json,gzip def toGzipFormat(postData): data=bytes(json.dumps(postData),'utf-8') ct=gzip.compress(data,) return ct postData= { "ProtocolType": "01003"...
PythonRequest_Post gzip Compressed gzip压缩数据
weixin_34297300的博客
07-18 1359
2019独角兽企业重金招聘Python工程师标准>>> ...
Python中通过urllib2.urlopen获取网页的过程中,添加gzip的压缩与解压缩支持
12-04 3043
之前已经实现了用python获取网页的内容,相关已实现代码为: ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 #--------------
python系列:Python requests.post 上传文件
weixin_54626591的博客
06-06 1617
Python requests.post 上传文件
python requests官方中文文档( 高级用法 Requests 2.18.1 文档 )
08-13
python requests官方中文文档,进阶用法。本文档覆盖了requests库的一些高级特性
python3的 requests离线安装包(包括依赖)
08-14
python3的 requests离线安装包,仅window环境能用,离线安装方法如下: 解压到任意目录后,cd到requests目录 然后 pip install --no-index --find-links=pack -r requirements.txt 或者 python -m pip install --no-...
Python爬虫requests返回值为空的解决方案
热门推荐
weixin_43178406的博客
05-24 3万+
本文主要介绍了requests返回值为空的解决方案,希望能对学习爬虫的同学们有所帮助。需要说明的是,该方案适合无需进行登录账户等其他操作就能通过浏览器看到网站内容的情况,而不适用更加复杂的场景。 文章目录 1. 问题描述 2. 解决方案
python发送gzip压缩
07-02 714
原文地址 使用python发送gzip压缩的request消息体在服务端支持http gzip的情况下,客户端可以发送gzip压缩的消息体。在header中指明表明消息主题被进行了某种编码转换。客户端可以事先声明一系列的可以支持压缩模式,与请求一齐发送。 Accept-Encoding 这个首部就是用来进行这种内容编码形式协商的: 服务器在响应首部提供了实际采用的压缩模式: 需要注意的是,服务器端并不强制要求一定使用何种压缩模式。采用哪种压缩方式高度依赖于服务器端的设置,及其所采用的模块。此处参考C
python requests解压响应gizp数据包并解密转码
我不喜欢这个世界
01-22 2366
import requests res= requests.post('http://www.xx.com',headers=headers,data=data) data = gzip.decompress(res.content).decode("utf-8")#gip解压 #data = x149_170_124_157_150_xxx_xxx_201_188_149_163y #因为data是x开头结尾这种形式所以需要转码和解密 #下面进行转码 k = [48, 49, 50, 51, 52,
Python post提交gzip的方式
07-02 633
# Works if backend supports gzip additional_headers['content-encoding'] = 'gzip' request_body = zlib.compress(json.dumps(post_data)) r = requests.post('http://post.example.url', data=request_body, headers=additional_headers) I've tested the solut..
Python爬虫requests后的html乱码解决(gzip, deflate, br)
十一姐的博客
08-26 4666
1、问题如下 前提:resp.encoding编码与网页源码编码一致;本例编码为’utf-8’; 直接输出reponse.text会报异常:UnicodeEncodeError: ‘gbk’ codec can’t encode character ‘\ufffd’ in position 0: illegal multibyte sequence headers = { 'acce...
requests-利用-gzip-压缩优化大-XML-响应的处理方法
D0126_的博客
01-02 465
我建议将这个解决方案添加到requests的文档中,例如在FAQ中,这样其他开发者也可以受益于这个优化方法。这个方法可以显著提高处理大XML响应的效率,尤其是在处理压缩响应时,可以减少内存的使用,提高性能。在处理大XML响应时,我遇到了问题。由于响应的大小可能达到数百万字节,因此将整个响应加载到内存中并交给XML解析器进行处理是不可能的。此外,这些极其重复和冗长的XML文件的压缩比率非常好(10x以上),因此我希望能够利用压缩响应。这个解决方案可以帮助我在处理大XML响应时更高效地利用gzip压缩。
pythongzip header请求html数据时,response内容乱码无法解码的解决方案_gzip格式header
2401_84139711的博客
04-17 357
代码如下, 这是一个典型的模拟form表单,post方式提交请求数据的代码,基于python 2.7。④ Python基础入门、爬虫、web开发、大数据分析方面的视频(适合小白学习)① 2000多本Python电子书(主流和经典的书籍应该都有了)③ 项目源码(四五十个有趣且经典的练手项目及源码)⑤ Python学习路线图(告别不入流的学习)② Python标准库资料(最全中文版)代码块语法遵循标准markdown代码。使用本脚本需要以下环境。
python爬虫之requests库最全知识点整理
python03011的博客
12-04 2924
记得我刚学python-requests库的时候总会有点晕,于是我做了以下关于requests库的知识点整理,方便初学者可以更好的了解requests库。如果有补充或错误,或者不懂的地方,可以评论区留言。RequestsPython一个很实用的HTTP客户端,完全满足如今网络爬虫的需求urllib库和requests库功能类似。
一日一技:反爬虫的极致手段,几行代码直接炸了爬虫服务器
m0_59164520的博客
02-27 1271
作为一个站长,你是不是对爬虫不胜其烦?爬虫天天来爬,速度又快,频率又高,服务器的大量资源被白白浪费。 看这篇文章的你有福了,我们今天一起来报复一下爬虫,直接把爬虫的服务器给干死机。 本文有一个前提:你已经知道某个请求是爬虫发来的了,你不满足于单单屏蔽对方,而是想搞死对方。 很多人的爬虫是使用Requests来写的,如果你阅读过Requests的文档,那么你可能在文档中的Binary Response Content[1]这一小节,看到这样一句话: The gzip and deflate transf
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

晨曦_子画

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值