http图片上传安全性问题 根据ContentType (MIME) 判断其实不准确、不安全
图片上传常用的类型判断方法有这么几种---截取扩展名、获取文件ContentType (MIME) 、读取byte来判断(这个什么叫法来着?)。前两种都有安全问题。容易被上传不安全的文件,如木马什么的。第1种截取文件扩展名来判断的方法很明显不安 全,第2种ContentType MIME可以伪造,所以用ContentType来判断其实也不安全。建议采用第3种。
C#演示:
1.截取扩展名来做判断,不可取。
if (Request.Files.Count > 0)
{
//这里只测试上传第一张图片file[0]
HttpPostedFile file0 = Request.Files[0];
string ext = file0.FileName.Substring(file0.FileName.LastIndexOf('.') + 1);//文件扩展名string[] fileTypeStr = { "jpg", "gif", "bmp", "png" };
if (fileTypeStr.Contains(ext))
{
file0.SaveAs(Server.MapPath("~/" + file0.FileName));//保存文件 }
else
{
Response.Write("图片格式不正确" + ext);
}
}
2.判断ContentType (MIME) ,比第1种方案安全。但其实ContentType是可伪造的,所以也不够安全。
if (Request.Files.Count > 0)
{
//这里只测试上传第一张图片file[0]
HttpPostedFile file0 = Request.Files[0];
string contentType = file0.ContentType;//文件类型string[] fileTypeStr = { "image/gif","image/x-png","image/pjpeg","image/jpeg","image/bmp"};
if (fileTypeStr.Contains(contentType))
{
file0.SaveAs(Server.MapPath("~/" + file0.FileName));
}
else
{
Response.Write("图片格式不正确" + contentType);
}
}
3.通过byte获取文件类型,来做判断。
if (Request.Files.Count > 0)
{
//这里只测试上传第一张图片file[0]
HttpPostedFile file0 = Request.Files[0];
//转换成byte,读取图片MIME类型 Stream stream;
//int contentLength = file0.ContentLength; //文件长度byte[] fileByte = newbyte[2];//contentLength,这里我们只读取文件长度的前两位用于判断就好了,这样速度比较快,剩下的也用不到。
stream = file0.InputStream;
stream.Read(fileByte, 0, 2);//contentLength,还是取前两位 stream.Close();
string fileFlag = "";
if (fileByte != null && fileByte.Length > 0)//图片数据是否为空 {
fileFlag = fileByte[0].ToString() + fileByte[1].ToString();
}
string[] fileTypeStr = { "255216", "7173", "6677", "13780" };//对应的图片格式jpg,gif,bmp,pngif (fileTypeStr.Contains(fileFlag))
{
file0.SaveAs(Server.MapPath("~/" + file0.FileName));
}
else
{
Response.Write("图片格式不正确:" + fileFlag);
}
}
以上内容就是本文给大家叙述的http图片上传安全性问题 根据ContentType (MIME) 判断其实不准确、不安全,希望大家喜欢。
相关推荐
-
Win2003 手机站IIS MIME类型设置大全
详细步骤为: 打开Internet 服务管理器Internet 服务管理器-->网站属性-->HTTP头(MIME映射)-->新建 添加内容类型(MIME) 关联扩展名 下面是常用的手机文件格式扩展名: 如果需要对支持java下载:在iis中需要添加 .jad-->text/vnd.sun.j2me.app-de .jar-->application/java-archive 诺基亚塞班手机s60v5.s60v3支持sis文件下载:在iis中需要添加 .sis applica
-
下载站mime属性设置(让文件可下载)
一般软件下载 .torrentapplication/octet-stream .7zapplication/octet-stream .isoapplication/octet-stream 手机相关类型: .apkapplication/vnd.android.package-archive .dedapplication/vnd.iphone .dmg application/octet-stream .ipaapplication/vnd.iphone .app application/
-
IIS自定义MIME类型的步骤
单击[开始]→[程序]→[管理工具]→[IIS管理器],逐步展开"本地计算机"."网站",在你的网站上右击,选择[属性],单击"HTTP头"选项卡→单击"MIME类型"按钮,再单击"新建"按钮,在"扩展名"框内输入".flv","MIME类型"框中输入"flv-application/octet-stream",然后确定即可.&
-
IIS解析json的配置方法汇总
IIS6.0 1.打开IIS添加Mime项 关联扩展名: *.json 内容类型(MIME):application/x-JavaScript 2.添加映射: 位置在IIS对应站点右键属性:"主目录"-"应用程序设置"-"配置"-"映射"-"添加",会打开"添加/编辑应用程序扩展名映射" 扩展名: .json 运行文件:C:\WINDOWS\system32\inetsrv\asp.dl
-
php文件类型MIME对照表(比较全)
由于内容过多,大家可以通过ctrl+F搜索即可 IE浏览器 id 后缀名 php识别出的文件类型 0 gif image/gif 1 jpg image/jpeg 2 png image/png 3 bmp image/bmp 4 psd application/octet-stream 5 ico image/x-icon 6 rar application/octet-stream 7 zip application/zip 8 7z application/octet-stream 9 e
-
MIME类型大全(response.setContentType中MIME参数类型总结)
MIME类型就是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开.多用于指定一些客户端自定义的文件名,以及一些媒体文件打开方式. 如果服务器没有对应的设置,很多文件无法通过web服务器解析,造成无法下载无法播放的问题. 下面列出常用的文件对应的MIME类型: Mime-Types(mime类型) Dateiendung(扩展名) Bedeutung application/msexcel *.xls *.xla Microsoft
-
Mime类型与文件后缀对照表
方便iis中或其他服务器对相应的文件进行解析 有一些格式上传后无法下载或访问,需要设置MIME, 在主机管理>管理>设置MIME,里添加,比如.flv就需要设置后才能访问 文件后缀 MIME 备注 *.avi video/x-msvideo 视频文件 *.aif *.aiff *.aifc audio/x-aiff 声音文件 *.au *.snd audio/basic 声音文件 *.ai *.eps *.ps application/postscript *.asd *.asn appl
-
http图片上传安全性问题 根据ContentType (MIME) 判断其实不准确、不安全
图片上传常用的类型判断方法有这么几种---截取扩展名.获取文件ContentType (MIME) .读取byte来判断(这个什么叫法来着?).前两种都有安全问题.容易被上传不安全的文件,如木马什么的.第1种截取文件扩展名来判断的方法很明显不安 全,第2种ContentType MIME可以伪造,所以用ContentType来判断其实也不安全.建议采用第3种. C#演示: 1.截取扩展名来做判断,不可取. if (Request.Files.Count > 0) { //这里只测试上传第一张图片
-
CKEditor与dotnetcore实现图片上传功能
本文实例为大家分享了CKEditor与dotnetcore实现图片上传的具体代码,供大家参考,具体内容如下 CKEditor的使用 1.引入js库 <script src="https://cdn.ckeditor.com/4.6.1/standard-all/ckeditor.js"></script> 2.定义一个textarea标签 <textarea id="editor"> </textarea> 3.用Ck
-
php+ajax+h5实现图片上传功能
本文实例为大家分享了php实现ajax图片上传的具体代码,供大家参考,具体内容如下 html页面代码 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> <script type="text/javascript" src="__PUBLIC__
-
图片上传之FileAPI与NodeJs
HTML5之fileAPI HTML5之fileAPI使得我们处理图片上传更加简单. 实例 html代码 <div class="form-group"> <label for="modal_inputFile" class="col-md-3 control-label label-font">位置图:</label> <div class="col-md-9"> <in
-
自己动手打造ajax图片上传(网上没有的)
今天笔者需要一款图片上传插件,但是网上没有提供一款符合自己需求且好用的.于是就自己动手写了一个. 方法1,仅使用jquery代码,不用第三方插件.代码如下 <p> <label>上传图片</label> <input class="ke-input-text" type="text" id="url" value="" readonly="readonly" /&g
-
jQuery+HTML5实现图片上传前预览效果
本文实例讲述了jQuery+HTML5实现图片上传前预览效果.分享给大家供大家参考.具体如下: 这里主要是使用HTML5 的File API,建立一個可存取到该file的url,一个空的img标签,ID为img0,把选择的文件显示在img标签中,实现图片预览功能.请选择支持HTML API的浏览器,比如谷歌Chrome和火狐等. 运行效果如下图所示: 在线演示地址如下: http://demo.jb51.net/js/2015/jquery-html5-pic-upload-pre-view-c
-
jQuery自定义图片上传插件实例代码
摘要 1.jquery自定义插件方法 2.表单file样式调整 3.利用formData,ajax上传图片 4.js,css弹出层 5.springmvc上传图片 效果 调用方式 $("#picUrl").imgUpload({}),在代码内部为调用对象绑定了click事件,点击弹出上传界面. $(function(){ $("#picUrl").imgUpload({url:'<%=basePath%>'+'file/upload.do'}) $(&q
-
简单实现node.js图片上传
本文实例为大家分享了node.js图片上传的具体代码,供大家参考,具体内容如下 1.node-formidable 对文件上传提供帮助的组件 2.app.js var formidable = require('formidable'); var http = require( 'http' ); var sys = require('sys'); http.createServer(function( request ,response ){ if( request.url == '/uplo
-
angular2+nodejs实现图片上传功能
在使用angular2进行图片上传的时候,遇到了各种各样的问题.在多番尝试之后最终成功上传图片,下面将我的方法分享给大家: nodejs 后台代码 var express = require("express"); //网络请求模块 var request = require("request"); //引入nodejs文件系统模块 const fs = require('fs'); //引入body-parser //包含在请求正文中提交的键/值对数据. //默认
-
通过AngularJS实现图片上传及缩略图展示示例
通过AngularJS实现图片上传及缩略图展示示例,废话不多说了,具体如下: 从项目中截出的代码 HTML部分: <section> <img src="image/user-tuijian/tuijian_banner.png" /> <div> <form ng-submit="submit_form()"> <input type="text" name="aaa"