1024

http图片上传安全性问题 根据ContentType (MIME) 判断其实不准确、不安全

Adalia ·
更新时间:2024-09-21
· 865 次阅读

图片上传常用的类型判断方法有这么几种---截取扩展名、获取文件ContentType (MIME) 、读取byte来判断(这个什么叫法来着?)。前两种都有安全问题。容易被上传不安全的文件,如木马什么的。第1种截取文件扩展名来判断的方法很明显不安 全,第2种ContentType MIME可以伪造,所以用ContentType来判断其实也不安全。建议采用第3种。

C#演示:

1.截取扩展名来做判断,不可取。

if (Request.Files.Count > 0) { //这里只测试上传第一张图片file[0] HttpPostedFile file0 = Request.Files[0]; string ext = file0.FileName.Substring(file0.FileName.LastIndexOf('.') + 1);//文件扩展名string[] fileTypeStr = { "jpg", "gif", "bmp", "png" }; if (fileTypeStr.Contains(ext)) { file0.SaveAs(Server.MapPath("~/" + file0.FileName));//保存文件 } else { Response.Write("图片格式不正确" + ext); } }

2.判断ContentType (MIME) ,比第1种方案安全。但其实ContentType是可伪造的,所以也不够安全。

if (Request.Files.Count > 0) { //这里只测试上传第一张图片file[0] HttpPostedFile file0 = Request.Files[0]; string contentType = file0.ContentType;//文件类型string[] fileTypeStr = { "image/gif","image/x-png","image/pjpeg","image/jpeg","image/bmp"}; if (fileTypeStr.Contains(contentType)) { file0.SaveAs(Server.MapPath("~/" + file0.FileName)); } else { Response.Write("图片格式不正确" + contentType); } }

3.通过byte获取文件类型,来做判断。

if (Request.Files.Count > 0) { //这里只测试上传第一张图片file[0] HttpPostedFile file0 = Request.Files[0]; //转换成byte,读取图片MIME类型 Stream stream; //int contentLength = file0.ContentLength; //文件长度byte[] fileByte = newbyte[2];//contentLength,这里我们只读取文件长度的前两位用于判断就好了,这样速度比较快,剩下的也用不到。 stream = file0.InputStream; stream.Read(fileByte, 0, 2);//contentLength,还是取前两位 stream.Close(); string fileFlag = ""; if (fileByte != null && fileByte.Length > 0)//图片数据是否为空 { fileFlag = fileByte[0].ToString() + fileByte[1].ToString(); } string[] fileTypeStr = { "255216", "7173", "6677", "13780" };//对应的图片格式jpg,gif,bmp,pngif (fileTypeStr.Contains(fileFlag)) { file0.SaveAs(Server.MapPath("~/" + file0.FileName)); } else { Response.Write("图片格式不正确:" + fileFlag); } }

以上内容就是本文给大家叙述的http图片上传安全性问题 根据ContentType (MIME) 判断其实不准确、不安全,希望大家喜欢。

您可能感兴趣的文章:TP3.2批量上传文件或图片 同名冲突问题的解决方法Android使用OkHttp上传图片的实例代码C# 中实现ftp 图片上传功能(多快好省)Android中Okhttp3实现上传多张图片同时传递参数关于安卓手机微信浏览器中使用XMLHttpRequest 2上传图片显示字节数为0的解决办法iOS通过http post上传图片ThinkPHP5.0 图片上传生成缩略图实例代码说明



HTTP 安全性 mime

1024 个赞
编辑 举报
需要 登录 后方可回复, 如果你还没有账号请 注册新账号
相关文章
Vue.js 起步
Wilona 2020-05-31
541
SqlDataReader指定转换无效的解决方法
Kaitlyn 2021-02-18
896
unix编程创建前缀固定的临时文件代码分享
Alicia 2021-04-20
678
springboot配置http跳转https的过程
Tallulah 2023-04-02
595
springboot如何将http转https
Tesia 2023-04-02
1607
Tomcat启动成功但无法访问http://localhost:8080/的解决方法
Tallulah 2023-04-08
1103
Golang中基于HTTP协议的网络服务
Viveka 2023-04-14
1592
SQLServer的行级安全性详解
Miette 2023-04-18
1148
Golang中HTTP服务的分析与设计详解
Oria 2023-05-12
1747
Golang HTTP服务超时控制实现原理分析
Yvonne 2023-05-12
866
Golang中HTTP路由设计的使用与实现
Elsa 2023-05-12
1358
shell脚本发送http请求的实现示例
Clementine 2023-05-12
1516
Go语言Http Server框架实现一个简单的httpServer
Laila 2023-05-13
1447
Go语言实现一个Http Server框架(一) http库的使用
Hoshi 2023-05-13
1087
使用Tomcat无法访问http:localhost:8080的解决方法
Janna 2023-05-13
893
基于Python创建可定制的HTTP服务器
Kohana 2023-05-13
1585
Go语言使用net/http实现简单登录验证和文件上传功能
Tanisha 2023-07-17
391
普通用户启动supervisor报HTTP错误(strace)解决分析
Anna 2023-07-20
781
C/C++实现高并发http服务器的代码示例
Faye 2023-07-20
377
C++使用curl库进行http请求的方法详解
Tricia 2023-07-20
403