PyPDF2 在打开不安全文件时是否采取任何安全措施?

【问题标题】:Does PyPDF2 take any safety measures when opening an unsafe file?PyPDF2 在打开不安全文件时是否采取任何安全措施?
【发布时间】:2014-11-19 01:15:37
【问题描述】:

我想使用 PyPDF2,但首先要确保它可以安全使用。我在它的文档中找不到任何东西。我想用它来确保上传的文件是有效的 PDF。用户已经过验证,但我担心他们仍然能够在不知不觉中上传不安全的内容。 PyPDF2 有什么方法可以判断它是不安全的,即使它是 PDF 文件?

来源: https://github.com/mstamy2/PyPDF2

文档: https://pythonhosted.org/PyPDF2/

【问题讨论】:

  • 如果您确定了您所关注的安全风险,这可能会有所帮助。似乎大多数 PDF 安全风险来自在渲染期间执行代码。 (security.stackexchange.com/a/31551/46979security.stackexchange.com/a/31552/46979 是相关的。提到的 JavaScript 的属性也适用于 Python。) PyPDF2 似乎只是一个 PDF 解析器 和生成器。我怀疑它实际上会呈现内容(因此不会执行代码)。
  • PyPDF2 能否将文件的一部分评估为 python 或以其他方式执行它的内容?

标签: python django python-2.7 pypdf


【解决方案1】:

PyPDF2 有什么方法可以分辨,即使它是 PDF,不安全?

不,因为 PyPDF2 不包含任何安全扫描功能。任何对您的系统有害的内容可能会或可能不会通过 PyPDF 并继续对您的系统造成危险,具体取决于您采取的其他预防措施。

正如 jpmc26 所说,PyPDF 只是一个解析器/生成器,因此 PDF 的内容不太可能对 PyPDF 本身构成安全线程。

【讨论】:

    【解决方案2】:

    如果您担心 pdf 的有效性,如果您尝试使用 PyPDF2 操作不是有效 pdf 的 pdf,那么它可能会返回错误。至于检查 pdf 的内容,库本身不这样做,但是您可以编写检查某些模式的内容的方法,分析流,并找到其他方法自己检查。最好的方法是自己创建一个无效的 pdf 并找到您想要查找的内容。它也有一些密码验证,虽然老实说我没有处理图书馆的那部分。如果您可以学习如何有效地使用 PyPDF2,它是一个非常强大的工具!

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2015-01-30
      • 2014-05-13
      • 2015-05-01
      • 1970-01-01
      • 1970-01-01
      • 2011-11-18
      • 1970-01-01
      • 2018-02-24
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode