Manual: Detecção de tipo MIME O MediaWiki tenta detectar o tipo MIME dos arquivos que você carrega e rejeita o arquivo se a extensão de arquivo não corresponder ao tipo mime (O arquivo está corrompido ou tem uma extensão incorreta). Se você estiver recebendo esse erro para arquivos válidos, tente usar um comando externo para detectar o tipo MIME (veja abaixo). Nota: Antes de o método configurado para a detecção MIME ser chamado, algumas verificações codificadas são aplicadas. Use o log de depuração para descobrir se essas verificações causam falso-positivos. (Por exemplo, 1.15.3 pode misdetect. doc-arquivos de MS Word 2007 como arquivos ZIP.) Para configurar quais tipos de arquivos MediaWiki aceitará para uploads, use wgFileExtensions. Se instalado, o MediaWiki usa o módulo FileInfo do PHP ou o módulo MimeMagic mais antigo. Se você está recebendo um erro como mimemagic não pôde ser inicializado, arquivo mágico não está disponível. Este módulo não está configurado corretamente consulte a documentação do PHP para obter informações sobre como corrigir isso, ou use um comando de detector mime externo em vez disso (veja abaixo). No caso de você ter o módulo FileInfo instalado, mas não carregado automaticamente, você também pode tentar definir wgLoadFileinfoExtension true. Assim os módulos são carregados por PECL em tempo de execução. Como alternativa, um comando externo pode ser configurado para detectar o tipo mime, definindo a opção wgMimeDetectorCommand. A configuração mais comum é: Isso usa o utilitário de arquivos GNU para determinar o tipo do arquivo, que deve funcionar imediatamente em Linux. Observe que o utilitário de arquivo fornecido por outros Unixes pode não suportar a opção - i e, portanto, não funcionará. O utilitário de arquivos GNU também está disponível para Mac OS-X e para Windows via Cygwin. Se nenhum módulo mime estiver instalado e nenhum comando de detector de mímica externo estiver configurado, o MediaWiki confia no módulo GD do PHP para detectar o tipo mime. Note que isso só funciona para alguns tipos de imagem bem conhecidos (veja 1), outros arquivos serão aceitos sem qualquer verificação adicional Você também pode desativar a verificação de tipo MIME completamente definindo wgVerifyMimeType nota falsa no entanto que isso é muito inseguro: arquivos arbitrários podem então Ser carregado com uma extensão de arquivo inofensivo, mas possivelmente ainda pode ser executadointerpretado de uma forma prejudicial no computador cliente, ou o servidor web. Editando MediaWiki usa dois arquivos para verificar e interpretar o tipo mime ambos são arquivos simples, com uma entrada por linha e itens em uma linha separados por espaço em branco que estão localizados no diretório inclui de Sua instalação MediaWiki. Se você quiser carregar tipos incomuns de arquivos, talvez seja necessário adicionar as informações apropriadas aqui: mime. types é usado para mapear tipos MIME para extensões de arquivo, e vice-versa. Ele contém uma linha por tipo mime o primeiro item na linha é o tipo MIME (canônico veja abaixo), os itens a seguir são extensões de arquivo que são permitidas para este tipo mime (este é o mesmo formato usado para o padrão mime. info Arquivos em sistemas LinuxUnix). Por exemplo, para arquivos JPEG, aplica-se a seguinte linha: Observe que o tipo MIME de alguns formatos de arquivo pode ser detectado de forma muito ampla qualquer formato baseado em XML pode aparecer como textxml. Qualquer formato ZIP como applicationzip. Etc. Conseqüentemente, as extensões de arquivo para tais formatos devem ser associadas com o tipo MIME mais amplo, por exemplo: mime. info é usado para resolver aliases para tipos MIME e para atribuir um tipo de mídia a eles. Ele contém uma linha por tipo mime, o primeiro item na linha é o nome do tipo MIME canônico (que será usado internamente), o último item é do formato XXX e define o tipo de mídia para o tipo mime. Todos os itens intermediários são nomes secundários do tipo MIME. Alguns exemplos: Note que para arquivos OGG, o tipo de mídia é determinado programaticamente: AUDIO para vorbis, VIDEO para theora, MULTIMEDIA caso contrário. O tipo de mídia é específico do MediaWiki e determina que tipo de mídia está contido no arquivo, ao contrário do formato no qual o arquivo está. Essas informações são armazenadas na tabela de imagens. Juntamente com o tipo mime. Atualmente não é usado para muito, mas poderia ser usado no futuro para determinar como apresentar um arquivo para o usuário. Os seguintes tipos são definidos: Além da opção wgFileExtensions, as seguintes configurações podem fazer com que os arquivos sejam rejeitados (mesmo se wgStrictFileExtensions false estiver definido): Além disso, o MediaWiki rejeita todos os arquivos que parecem scripts que podem ser acidentalmente executados no Servidor web ou o navegador de usuários. Notavelmente, qualquer coisa que pareça um dos seguintes formatos será rejeitada, independentemente do tipo de mime detectado ou extensão de arquivo: HTML, JavaScript, PHP, shell scripts. Observe que a detecção de HTML e JavaScript é bastante ampla e pode reportar falsos positivos, pois o Microsoft Internet Explorer é conhecido por interpretar arquivos que parecem HTML, independentemente da extensão de arquivo ou do tipo MIME relatados pelo servidor web, o que seria Levam o site a ser vulnerável a ataques de scripts entre sites. Se você realmente quiser permitir até mesmo esses arquivos perigosos, você pode invadir a função detectScript no arquivo UploadBase. php para sempre retornar false. Tipos MIME ao fazer o download Editar Observe que o tipo MIME usado quando o arquivo real é exibido para o navegador dos usuários não é determinado pela detecção MIME do MediaWikis: os arquivos não são exibidos por meio do MediaWiki, mas diretamente pelo servidor web. Assim, o servidor web deve ser configurado para usar o tipo MIME correto para cada extensão de arquivo, por exemplo, se você tiver problemas para visualizar arquivos SVG no seu navegador, verifique se o servidor está configurado para exibi-los como imagesvgxml. (Para o Apache, leia sobre o modmime). Discussão mais antiga no meta: 4 O campo Content-Type Header O propósito do campo Content-Type é descrever os dados contidos no corpo o suficiente para que o agente de usuário receptor possa escolher um agente ou mecanismo apropriado para apresentar os dados ao usuário , Ou lidar com os dados de forma adequada. O campo de cabeçalho Tipo de conteúdo é usado para especificar a natureza dos dados no corpo de uma entidade, fornecendo identificadores de tipo e de subtipo e fornecendo informações auxiliares que podem ser necessárias para determinados tipos. Após os nomes de tipo e subtipo, o restante do campo de cabeçalho é simplesmente um conjunto de parâmetros, especificado em uma notação de valor de atributo. O conjunto de parâmetros significativos difere para os diferentes tipos. A ordenação dos parâmetros não é significativa. Entre os parâmetros definidos está um parâmetro charset pelo qual o conjunto de caracteres usado no corpo pode ser declarado. Os comentários são permitidos de acordo com as regras RFC 822 para campos de cabeçalho estruturados. Em geral, o Content-Type de nível superior é usado para declarar o tipo geral de dados, enquanto o subtipo especifica um formato específico para esse tipo de dados. Assim, um Content-Type de imagexyz é suficiente para dizer a um agente de usuário que os dados são uma imagem, mesmo que o agente do usuário não tenha conhecimento do formato de imagem específico xyz. Essas informações podem ser usadas, por exemplo, para decidir se um usuário deve ou não mostrar os dados brutos de um subtipo não reconhecido - tal ação pode ser razoável para subtipos de texto não reconhecidos, mas não para subtipos não reconhecidos de imagem ou áudio. Por esta razão, subtipos registados de áudio, imagem, texto e vídeo, não devem conter informações incorporadas que são realmente de um tipo diferente. Tais tipos de compostos devem ser representados usando o multipart ou tipos de aplicação. Os parâmetros são modificadores do subtipo de conteúdo e não afetam fundamentalmente os requisitos do sistema host. Embora a maioria dos parâmetros faça sentido apenas com certos tipos de conteúdo, outros são globais no sentido de que eles podem se aplicar a qualquer subtipo. Por exemplo, o parâmetro de limite faz sentido apenas para o tipo de conteúdo multipart, mas o parâmetro charset pode fazer sentido com vários tipos de conteúdo. Um conjunto inicial de sete Content-Types é definido por este documento. Este conjunto de nomes de nível superior pretende ser substancialmente completo. Espera-se que as adições ao conjunto maior de tipos suportados geralmente possam ser realizadas pela criação de novos subtipos desses tipos iniciais. No futuro, mais tipos de nível superior podem ser definidos apenas por uma extensão a este padrão. Se outro tipo primário for usado por qualquer razão, deve ser dado um nome começando com X - para indicar seu status não padronizado e para evitar um conflito potencial com um nome oficial futuro. Na notação BNF estendida da RFC 822. um valor de campo de cabeçalho Content-Type é definido da seguinte forma: Note que a definição de tspecials é a mesma que a definição de RFC 822 de specials com a adição dos três caracteres, e. Observe também que uma especificação de subtipo é OBRIGATÓRIA. Não há subtipos padrão. Os nomes de tipo, subtipo e parâmetro não são sensíveis a maiúsculas e minúsculas. Por exemplo, TEXT, Texto e TeXt são todos equivalentes. Os valores dos parâmetros são normalmente sensíveis a maiúsculas e minúsculas, mas certos parâmetros são interpretados como insensíveis a maiúsculas e minúsculas, dependendo do uso pretendido. (Por exemplo, os limites de várias partes diferenciam maiúsculas de minúsculas, mas o tipo de acesso para messageExternal-body não diferencia maiúsculas de minúsculas.) Além dessa sintaxe, a única restrição na definição de nomes de subtipos é o desejo de que seus usos não entrem em conflito. Ou seja, seria indesejável ter duas comunidades diferentes usando Content-Type: applicationfoobar para significar duas coisas diferentes. O processo de definição de novos subtipos de conteúdo, então, não pretende ser um mecanismo para impor restrições, mas simplesmente um mecanismo para divulgar os usos. Há, portanto, dois mecanismos aceitáveis para a definição de novos subtipos de tipo de conteúdo: Os valores privados (começando com X-) podem ser definidos bilateralmente entre dois agentes cooperantes sem registro externo ou padronização. Novos valores-padrão devem ser documentados, registrados e aprovados pela IANA, conforme descrito no Apêndice F. Se forem destinados para uso público, os formatos a que se referem também devem ser definidos por uma especificação publicada e possivelmente oferecidos para padronização. Os sete tipos de conteúdo predefinidos iniciais padrão são detalhados na maior parte deste documento. São: texto informação textual. O subtipo principal, plain, indica texto simples (não formatado). Nenhum software especial é necessário para obter o significado completo do texto, além de suporte para o conjunto de caracteres indicado. Subtipos devem ser usados para texto enriquecido em formulários onde o software aplicativo pode melhorar a aparência do texto, mas esse software não deve ser exigido para obter a idéia geral do conteúdo. Os subtipos possíveis incluem assim qualquer formato de processador de texto legível. Um subtipo muito simples e portátil, richtext, é definido neste documento. Multipart dados consistindo de várias partes de tipos de dados independentes. São definidos quatro subtipos iniciais, incluindo o subtipo primário misto, alternativo para representar os mesmos dados em múltiplos formatos, paralelo para partes destinadas a ser visualizadas simultaneamente, e digerir para entidades multipartas em que cada parte é de tipo mensagem. Mensagem encapsulada. Um corpo de mensagem Content-Type é propriamente uma mensagem conformada RFC 822 totalmente formatada que pode conter seu próprio campo cabeçalho Content-Type diferente. O subtipo principal é rfc822. O subtipo parcial é definido para mensagens parciais, para permitir a transmissão fragmentada de corpos que se pensa serem muito grandes para serem passados através de instalações de transporte de correio. Outro subtipo, Corpo externo, é definido para especificar corpos grandes por referência a uma fonte de dados externa. Imagem de imagem. A imagem requer um dispositivo de exibição (como uma tela gráfica, uma impressora ou uma máquina de FAX) para exibir as informações. Subtipos iniciais são definidos para dois formatos de imagem amplamente utilizados, jpeg e gif. Dados de áudio e áudio, com o subtipo inicial básico. O áudio requer um dispositivo de saída de áudio (como um alto-falante ou um telefone) para exibir o conteúdo. Dados de vídeo. O vídeo requer a capacidade de exibir imagens em movimento, normalmente incluindo hardware e software especializados. O subtipo inicial é mpeg. Aplicativo algum outro tipo de dados, normalmente dados binários não interpretados ou informações a serem processadas por um aplicativo baseado em email. O subtipo primário, octet-stream, deve ser usado no caso de dados binários não interpretados, caso em que a ação mais simples recomendada é oferecer a escrever as informações em um arquivo para o usuário. Dois subtipos adicionais, ODA e PostScript, são definidos para transportar documentos ODA e PostScript em corpos. Outros usos esperados para aplicação incluem planilhas, dados para sistemas de agendamento baseados em correio e idiomas para e-mail ativo (computacional). (Observe que o email ativo envolve várias considerações de segurança, que são discutidas mais adiante neste memorando, particularmente no contexto de applicationPostScript.) As mensagens RFC padrão 822 são digitadas por este protocolo como texto simples no conjunto de caracteres US-ASCII, que pode ser explicitamente especificado Como Content-type: textplain charsetus-ascii. Se nenhum Content-Type for especificado, por erro ou por um agente de usuário mais antigo, esse padrão é assumido. Na presença de um campo de cabeçalho MIME-Version, um agente de usuário de recebimento também pode assumir que o texto US-ASCII simples era a intenção dos remetentes. Na ausência de uma especificação MIME-Version, texto US-ASCII simples ainda deve ser assumido, mas a intenção dos remetentes poderia ter sido de outra forma. Deve-se notar que a lista de valores de Content-Type aqui pode ser aumentada no tempo, via Os mecanismos descritos acima, e que o conjunto de subtipos deverá crescer substancialmente. Quando um leitor de correio encontra correio com um valor de tipo de conteúdo desconhecido, ele geralmente deve tratá-lo como equivalente a applicationoctet-stream, como descrito mais adiante neste documento. SampoSarrala Li o RFC-7231 um pouco diferente: quotIf um campo de cabeçalho Content-Type Não está presente, o destinatário pode assumir um tipo de mídia de quotapplicationoctet-streamquot (RFC2046, Secção 4.5.1) ou examinar os dados para determinar o seu type. quot eu interpretar que, como deveríamos enviar NO Content-Type ou estamos seguros Para enviar applicationoctet-stream como um padrão se não quisermos que os clientes jogando adivinhando jogos com o exame de conteúdo. Ndash Jpnh Mar 19 15 at 20:30 Jpnh Sim, isso é certo. O cabeçalho Content-Type não deve estar presente sempre que for desconhecido. Pode-se também enviar applicationoctet-stream, que basicamente diz ao cliente que você não quer exibi-lo apenas agora, mas vá em frente e salve esses bytes para arquivo em vez quot. Isso faz com que os clientes da web ofereçam salvar arquivos. Opção 1 Não sei nada sobre este arquivo. Opção 2 O conteúdo do arquivo não pode ser descrito usando mime ou ele só deve ser salvo no disco. Na prática, qualquer opção seria correta. Eu deveria ter escolhido melhor redação para evitar confusão. Ndash Sampo Sarrala Mar 20 15 at 7:57 quotArbitrary dados binários não é quotunknownquot. Usando o applicationoctet-stream você diz ao navegador que o tipo de conteúdo é conhecido, não é texto nem uma imagem, mas dados binários arbitrários e, como resultado, deve ser baixado para o arquivo e, possivelmente, executado. Em cima de estar errado, este é um buraco de segurança, especialmente considerando gestores de download modernos mal visíveis. A resposta certa não é cabeçalho de tipo de conteúdo. Se você não sabe qual o tipo de arquivo que é, o navegador pode conhecê-lo, então deixe-o adivinhar, especialmente quando ele conhece o contexto de uso (imagem, documento, script.) Ndash FFDev Mar 1 16 at 11:54 RFC resources: We Deve usar RFC-7231 (HTTP1.1 Semântica e Conteúdo) como referência em vez de RFC-2046 (Tipos de Mídia) porque pergunta era claramente sobre HTTP Content-Type. Também RFC-2046 não define claramente tipos desconhecidos, mas RFC-7231 faz. Resposta curta: Não envie o tipo MIME para dados desconhecidos. Para ser mais claro: Não use cabeçalho Content-Type em tudo. Referências: RFC-7231 Hypertext Transfer Protocol (HTTP1.1): Semântica e Conteúdo 3.1.1.5. Content-Type Um remetente que gera uma mensagem contendo um corpo de carga útil DEVE gerar um campo de cabeçalho Content-Type nessa mensagem, a menos que o tipo de mídia pretendido da representação incluída seja desconhecido para o remetente. Essa seção claramente diz para você deixar de fora se você não sabe com certeza. Ele também diz que o receptor poderia assumir que o tipo é applicationoctet-stream, mas a coisa é que ele também pode ser outra coisa. O que é diferente então A ação recomendada para uma implementação que recebe uma entidade applicationoctet-stream é simplesmente oferecer para colocar os dados em um arquivo, com qualquer Content-Transfer-Encoding desfeito ou talvez usá-lo como entrada para um processo especificado pelo usuário . E, como já foi dito acima: Se um campo de cabeçalho Content-Type não estiver presente, o destinatário pode assumir um tipo de mídia de applicationoctet-stream (RFC2046, Seção 4.5.1) ou examinar os dados para determinar seu tipo. Conclusão: Se você defini-lo como applicationoctet-stream, então você está dizendo que você sabe que é applicationoctet-stream. Se você não o define então você está dizendo que você não sabe o que é e deixa a decisão ao receptor e ao receptor poderia então verificar se anda como o pato e. Jenson-button-event Não tem nada a ver com a reinvenção da roda. O tipo MIME especifica sua intenção. Se você sabe que o que você está enviando é suposto ser uma imagem png, passar essa informação ao longo. Se os bytes representam acidentalmente um jpeg, seu aplicativo pode avisá-lo de que ele não é um png válido, e que você tem um bug em outro lugar. Além disso, nem todos os aplicativos são tão robustos e tolerantes a falhas como um navegador. Eles foram projetados para corrigir os erros do programador, mas isso não está perto de sua única finalidade. Um navegador não é o único aplicativo que usa tipos MIME. Ndash Aidiakapi Jan 3 15 em 20:44 Svish História longa curta. Application47octet-stream é para dados específicos do aplicativo, não para quando você não sabe o que os dados representam. Omitir o tipo MIME indica ao alvo para descobrir como analisá-lo em si. Tudo com tudo, se você não o sabe, e não quer fazer um esforço para conhecê-lo, apenas don39t enviar tipos MIME. É tudo sobre comunicação e interface, não sobre o navegador pode descobrir isso39. Sim, pode, mas não deve ter a menos que você diga. Ndash Aidiakapi Apr 15 15 at 13:10
No comments:
Post a Comment