http图片上传安全性问题 根据ContentType (MIME) 判断其实不准确、不安全
图片上传常用的类型判断方法有这么几种---截取扩展名、获取文件ContentType (MIME) 、读取byte来判断(这个什么叫法来着?)。前两种都有安全问题。容易被上传不安全的文件,如木马什么的。第1种截取文件扩展名来判断的方法很明显不安 全,第2种ContentType MIME可以伪造,所以用ContentType来判断其实也不安全。建议采用第3种。
C#演示:
1.截取扩展名来做判断,不可取。
if (Request.Files.Count > 0)
{
//这里只测试上传第一张图片file[0]
HttpPostedFile file0 = Request.Files[0];
string ext = file0.FileName.Substring(file0.FileName.LastIndexOf(\'.\') + 1);//文件扩展名string[] fileTypeStr = { \"jpg\", \"gif\", \"bmp\", \"png\" };
if (fileTypeStr.Contains(ext))
{
file0.SaveAs(Server.MapPath(\"~/\" + file0.FileName));//保存文件 }
else
{
Response.Write(\"图片格式不正确\" + ext);
}
}
2.判断ContentType (MIME) ,比第1种方案安全。但其实ContentType是可伪造的,所以也不够安全。
if (Request.Files.Count > 0)
{
//这里只测试上传第一张图片file[0]
HttpPostedFile file0 = Request.Files[0];
string contentType = file0.ContentType;//文件类型string[] fileTypeStr = { \"image/gif\",\"image/x-png\",\"image/pjpeg\",\"image/jpeg\",\"image/bmp\"};
if (fileTypeStr.Contains(contentType))
{
file0.SaveAs(Server.MapPath(\"~/\" + file0.FileName));
}
else
{
Response.Write(\"图片格式不正确\" + contentType);
}
}
3.通过byte获取文件类型,来做判断。
if (Request.Files.Count > 0)
{
//这里只测试上传第一张图片file[0]
HttpPostedFile file0 = Request.Files[0];
//转换成byte,读取图片MIME类型 Stream stream;
//int contentLength = file0.ContentLength; //文件长度byte[] fileByte = newbyte[2];//contentLength,这里我们只读取文件长度的前两位用于判断就好了,这样速度比较快,剩下的也用不到。
stream = file0.InputStream;
stream.Read(fileByte, 0, 2);//contentLength,还是取前两位 stream.Close();
string fileFlag = \"\";
if (fileByte != null && fileByte.Length > 0)//图片数据是否为空 {
fileFlag = fileByte[0].ToString() + fileByte[1].ToString();
}
string[] fileTypeStr = { \"255216\", \"7173\", \"6677\", \"13780\" };//对应的图片格式jpg,gif,bmp,pngif (fileTypeStr.Contains(fileFlag))
{
file0.SaveAs(Server.MapPath(\"~/\" + file0.FileName));
}
else
{
Response.Write(\"图片格式不正确:\" + fileFlag);
}
}
以上内容就是本文给大家叙述的http图片上传安全性问题 根据ContentType (MIME) 判断其实不准确、不安全,希望大家喜欢。
本文地址:https://www.stayed.cn/item/26515
转载请注明出处。
本站部分内容来源于网络,如侵犯到您的权益,请 联系我
我的博客
人生若只如初见,何事秋风悲画扇。
我的标签
随笔档案
- 2024-02(2)
- 2023-06(1)
- 2023-05(1)
- 2023-04(14)
- 2023-03(3)
- 2023-01(6)
- 2022-12(5)
- 2022-11(5)
- 2022-07(2)
- 2022-06(4)
- 2022-05(3)
- 2022-03(1)
- 2021-12(6)
- 2021-11(1)
- 2021-10(3)
- 2021-09(5)
- 2021-07(5)
- 2021-02(2)
- 2021-01(7)
- 2020-12(18)
- 2020-11(14)
- 2020-10(12)
- 2020-09(10)
- 2020-08(22)
- 2020-07(2)
- 2020-06(1)
- 2020-04(5)
- 2020-03(9)
- 2020-02(7)
- 2020-01(9)
- 2019-12(8)
- 2019-11(10)
- 2019-10(11)
- 2019-09(17)
- 2019-08(16)
- 2019-07(6)
- 2019-06(3)
- 2019-04(1)
- 2019-03(8)
- 2019-02(5)
- 2019-01(1)
- 2018-11(2)
- 2018-10(3)
- 2018-09(1)
- 2018-08(3)
- 2018-07(3)
- 2018-06(7)
- 2018-04(4)
- 2018-03(5)
- 2018-02(4)
- 2018-01(22)
- 2017-12(3)
- 2017-11(5)
- 2017-10(15)
- 2017-09(26)
- 2017-08(1)
- 2017-07(3)