运维开发网

Java 了解ZipSecureFile.setMinInflateRatio(双倍比例)

运维开发网 https://www.qedev.com 2020-04-10 07:58 出处:网络 作者:运维开发网整理
我正在使用这个函数调用,因为当我读取一个受信任的文件时,它会导致zipbomb错误. ZipSecureFile.setMinInflateRatio(双倍比例) FileInputStream file = new FileInputStream("/file/path/report.xlsx"); ZipSecureFile.setMinInflateRatio(-1.0d);
我正在使用这个函数调用,因为当我读取一个受信任的文件时,它会导致zipbomb错误.

ZipSecureFile.setMinInflateRatio(双倍比例)

FileInputStream file = new FileInputStream("/file/path/report.xlsx"); 
   ZipSecureFile.setMinInflateRatio(-1.0d);
   XSSFWorkbook wb = new XSSFWorkbook(file);

我想知道它是如何工作的?

我能找到的唯一来源是https://poi.apache.org/apidocs/org/apache/poi/openxml4j/util/ZipSecureFile.html

但是,由于我不熟悉这个概念,所以无法得到清晰的图像.

有什么区别

ZipSecureFile.setMinInflateRatio(-1.0d);

VS

ZipSecureFile.setMinInflateRatio(0.009);

VS

ZipSecureFile.setMinInflateRatio(0);
拉链炸弹检测的工作方式如下:

解压缩时会检查compressBytes / uncompressedBytes的比率,如果低于特殊量(MinInflateRatio),则会检测到炸弹.

因此,如果比率compressedBytes / uncompressedBytes例如是0.01d,那么这意味着压缩文件比未压缩文件小100倍而没有信息丢失.换句话说,压缩文件仅在文件大小的1%中存储相同的信息,未压缩的文件需要.这不太可能使用现实生活中的数据.

为了表明我们不太可能看到(以流行的科学方式)压缩如何工作:

我们有字符串

“这是一个测试,用于压缩具有长字符数的字符,这些字符总是出现相同的序列.”

这需要101个字节.假设此字符串在文件中出现100,000次.然后解压缩它需要10,100,000个字节.压缩算法会为该字符串提供一个ID,并且只有将字符串映射到该ID后才会存储该字符串,并且将存储该字符串出现在文件中的ID的100,000倍.这将需要101字节1字节(ID)100,000字节(ID)= 100,102字节.例如,这将具有比率compressedBytes / uncompressedBytes为0.009911089d.

因此,如果我们将MinInflateRatio设置为低于0.01d,那么我们接受这种不太可能的数据压缩率.

我们还可以看到,如果compressedBytes为0,则compressionBytes / uncompressedBytes的比率只能为0.但这意味着没有要解压缩的字节.因此,永远不会达到0.0d的MinInflateRatio,也不会低估.因此,当MinInflateRatio为0.0d时,将接受所有可能的比率.

当然,也绝不能达到-1.0d的MinInflateRatio,也不能低于它.因此,使用它也将接受所有可能的比率.

扫码领视频副本.gif

0

精彩评论

暂无评论...
验证码 换一张
取 消

关注公众号