快捷導(dǎo)航

http圖片上傳安全性問(wèn)題根據(jù)ContentType (MIME) 判斷其實(shí)不準(zhǔn)確、不安全

更新時(shí)間：2015年09月24日 11:32:38 作者：小鵬

圖片上傳常用的類(lèi)型判斷方法有這么幾種---截取擴(kuò)展名、獲取文件ContentType (MIME) 、讀取byte來(lái)判斷(這個(gè)什么叫法來(lái)著？)。下面由腳本之家小編跟大家分享圖片上傳安全性問(wèn)題，感興趣的朋友一起看看吧

圖片上傳常用的類(lèi)型判斷方法有這么幾種---截取擴(kuò)展名、獲取文件ContentType (MIME) 、讀取byte來(lái)判斷(這個(gè)什么叫法來(lái)著？)。前兩種都有安全問(wèn)題。容易被上傳不安全的文件，如木馬什么的。第1種截取文件擴(kuò)展名來(lái)判斷的方法很明顯不安全，第2種ContentType MIME可以偽造，所以用ContentType來(lái)判斷其實(shí)也不安全。建議采用第3種。

C#演示:

1.截取擴(kuò)展名來(lái)做判斷，不可取。

if (Request.Files.Count > 0)
{
  //這里只測(cè)試上傳第一張圖片file[0]
  HttpPostedFile file0 = Request.Files[0];
  string ext = file0.FileName.Substring(file0.FileName.LastIndexOf('.') + 1);//文件擴(kuò)展名string[] fileTypeStr = { "jpg", "gif", "bmp", "png" };
  if (fileTypeStr.Contains(ext))
  {
    file0.SaveAs(Server.MapPath("~/" + file0.FileName));//保存文件  }
  else
  {
    Response.Write("圖片格式不正確" + ext);
  }
}

2.判斷ContentType (MIME) ，比第1種方案安全。但其實(shí)ContentType是可偽造的，所以也不夠安全。

if (Request.Files.Count > 0)
{
//這里只測(cè)試上傳第一張圖片file[0]
  HttpPostedFile file0 = Request.Files[0];
  string contentType = file0.ContentType;//文件類(lèi)型string[] fileTypeStr = { "image/gif","image/x-png","image/pjpeg","image/jpeg","image/bmp"};
  if (fileTypeStr.Contains(contentType))
  {
    file0.SaveAs(Server.MapPath("~/" + file0.FileName));
  }
  else
  {
    Response.Write("圖片格式不正確" + contentType);
  }
}

3.通過(guò)byte獲取文件類(lèi)型，來(lái)做判斷。

if (Request.Files.Count > 0)
{
//這里只測(cè)試上傳第一張圖片file[0]
  HttpPostedFile file0 = Request.Files[0];
  //轉(zhuǎn)換成byte,讀取圖片MIME類(lèi)型  Stream stream;
  //int contentLength = file0.ContentLength; //文件長(zhǎng)度byte[] fileByte = newbyte[2];//contentLength，這里我們只讀取文件長(zhǎng)度的前兩位用于判斷就好了，這樣速度比較快，剩下的也用不到。
  stream = file0.InputStream;
  stream.Read(fileByte, 0, 2);//contentLength，還是取前兩位  stream.Close();
  string fileFlag = "";
  if (fileByte != null && fileByte.Length > 0)//圖片數(shù)據(jù)是否為空  {
    fileFlag = fileByte[0].ToString() + fileByte[1].ToString();         
  }
  string[] fileTypeStr = { "255216", "7173", "6677", "13780" };//對(duì)應(yīng)的圖片格式j(luò)pg,gif,bmp,pngif (fileTypeStr.Contains(fileFlag))
  {
    file0.SaveAs(Server.MapPath("~/" + file0.FileName));
  }
  else
  {
    Response.Write("圖片格式不正確:" + fileFlag);
  }
}

以上內(nèi)容就是本文給大家敘述的http圖片上傳安全性問(wèn)題根據(jù)ContentType (MIME) 判斷其實(shí)不準(zhǔn)確、不安全，希望大家喜歡。

您可能感興趣的文章: