python - 我可以信任 ZipInfo.file_size 吗？

问题描述

ZipInfo.file_size包含 ZIP 存档中未压缩文件的大小。我可以 100% 确定，文件在提取后会有这个大小，是否可以伪造它？

我正在尝试允许用户上传 ZIP 存档中的大文件。我检查ZipInfo.file_size以禁止大于 1GB 的文件，并希望保护文件系统免受 zip-bombing，当从 ZIP 存档文件提取后ZipInfo.file_size < 1GB实际上是 1000GB 时。

标签： pythonzipfilefilesize