我有一个服务器脚本从 Javascript 接收上传的文件。
客户端,使用一个File对象(来自W3C File API)和类似于此行的代码:
if (file.type.indexOf("text") == 0) { ... }
可以检查文件类型。显然,这使用了MIME 类型(返回这些字符串)。
在我通过 SO 的旅程中,我冒险遇到了这个有价值的贡献者,他认为 MIME 类型是无用的。
MIME 类型在文件上传情况下是否确实基本上无用,因此任何类型检查都应该发生在服务器端?
问问题
3491 次
2 回答
4
该贡献者坚持认为所有MIME 类型检查都是无用的,无论是客户端还是服务器端。
在某种程度上,他是对的。MIME 类型检查始终基于嗅探文件的某些特征。他的例子:PDF 文件应该以%PDF-1.4. 但以 开头的文件%PDF-1.4不一定是 PDF 文件。(简化解释。)
用户可以将所有正确的提示放在所有正确的位置,因此 MIME 检测器会将文件检测为某种特定类型,因为它正在查看那些特定的提示。但是文件的其余部分可能完全不同。如果你走那么远,那么是什么制作了某种类型的文件呢?这一切都只是二进制 gobbledygook。最后,确保文件是 X 类型的有效文件的唯一方法是尝试使用需要 X 类型文件的解析器打开并解析它。如果解析正确,则该文件可用作 X 类型的文件。如果它像鸭子一样走路,像鸭子一样嘎嘎叫……
考虑到这一点,尝试解析文件比在服务器端嗅探 MIME 类型要好于在客户端嗅探 MIME 类型比使用用户的话来了解它是什么类型的文件要好。请注意,客户端 MIME 类型嗅探与听从用户的话一样不可靠,因为这一切都发生在客户端。
于 2012-04-26T08:12:17.323 回答
3
投稿人是对的。您不能仅仅依靠 MIME 类型检查来真正验证文件。它仅对快速查找有用。例如,在客户端,您可以在文件发送到服务器之前检查文件的 MIME 类型,以防用户选择错误的文件类型,节省时间和带宽。为自由使用逗号道歉!
于 2012-04-26T08:15:33.213 回答