http图片上传安全性问题 根据ContentType (MIME) 判断其实不准确、不安全
图片上传常用的类型判断方法有这么几种---截取扩展名、获取文件ContentType(MIME)、读取byte来判断(这个什么叫法来着?)。前两种都有安全问题。容易被上传不安全的文件,如木马什么的。第1种截取文件扩展名来判断的方法很明显不安全,第2种ContentTypeMIME可以伪造,所以用ContentType来判断其实也不安全。建议采用第3种。
C#演示:
1.截取扩展名来做判断,不可取。
if(Request.Files.Count>0) { //这里只测试上传第一张图片file[0] HttpPostedFilefile0=Request.Files[0]; stringext=file0.FileName.Substring(file0.FileName.LastIndexOf('.')+1);//文件扩展名string[]fileTypeStr={"jpg","gif","bmp","png"}; if(fileTypeStr.Contains(ext)) { file0.SaveAs(Server.MapPath("~/"+file0.FileName));//保存文件} else { Response.Write("图片格式不正确"+ext); } }
2.判断ContentType(MIME),比第1种方案安全。但其实ContentType是可伪造的,所以也不够安全。
if(Request.Files.Count>0) { //这里只测试上传第一张图片file[0] HttpPostedFilefile0=Request.Files[0]; stringcontentType=file0.ContentType;//文件类型string[]fileTypeStr={"image/gif","image/x-png","image/pjpeg","image/jpeg","image/bmp"}; if(fileTypeStr.Contains(contentType)) { file0.SaveAs(Server.MapPath("~/"+file0.FileName)); } else { Response.Write("图片格式不正确"+contentType); } }
3.通过byte获取文件类型,来做判断。
if(Request.Files.Count>0) { //这里只测试上传第一张图片file[0] HttpPostedFilefile0=Request.Files[0]; //转换成byte,读取图片MIME类型Streamstream; //intcontentLength=file0.ContentLength;//文件长度byte[]fileByte=newbyte[2];//contentLength,这里我们只读取文件长度的前两位用于判断就好了,这样速度比较快,剩下的也用不到。 stream=file0.InputStream; stream.Read(fileByte,0,2);//contentLength,还是取前两位stream.Close(); stringfileFlag=""; if(fileByte!=null&&fileByte.Length>0)//图片数据是否为空{ fileFlag=fileByte[0].ToString()+fileByte[1].ToString(); } string[]fileTypeStr={"255216","7173","6677","13780"};//对应的图片格式jpg,gif,bmp,pngif(fileTypeStr.Contains(fileFlag)) { file0.SaveAs(Server.MapPath("~/"+file0.FileName)); } else { Response.Write("图片格式不正确:"+fileFlag); } }
以上内容就是本文给大家叙述的http图片上传安全性问题根据ContentType(MIME)判断其实不准确、不安全,希望大家喜欢。