13

将文件上传到服务器时,Web 浏览器是否会在 http 标头中发送文件大小?如果是这种情况,那么是否可以仅通过读取标题来拒绝文件而不等待整个上传过程完成?

4

3 回答 3

13

http://www.faqs.org/rfcs/rfc1867.html

鼓励 HTTP 客户端为整个文件输入提供内容长度,以便繁忙的服务器可以检测建议的文件数据是否太大而无法合理处理

但是内容长度不是必需的,因此您不能依赖它。此外,攻击者可以伪造错误的内容长度。

读取文件内容是唯一可靠的方法。话虽如此,如果内容长度存在并且太大,关闭连接将是合理的做法。

此外,内容是作为多部分发送的,因此大多数现代框架首先对其进行解码。这意味着在框架完成之前您不会获得文件字节流,这可能意味着“直到整个文件被上传”。

于 2008-11-11T11:54:46.957 回答
2

编辑:在走得太远之前,您可能需要检查依赖于 apache 配置的其他答案:使用 jQuery,在上传之前限制文件大小。下面的描述仅在您确实需要更多自定义反馈时才有用。

是的,您可以在允许上传整个文件之前预先获取一些信息。

这是来自具有enctype="multipart/form-data"属性的表单的标题示例:

POST / HTTP/1.1
Host: 127.0.0.1:8000
User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; en-US; rv:1.9.0.3) Gecko/2008092414 Firefox/3.0.3
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.7,fr-be;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Content-Type: multipart/form-data; boundary=---------------------------886261531333586100294758961
Content-Length: 135361

-----------------------------886261531333586100294758961
Content-Disposition: form-data; name=""; filename="IMG_1132.jpg"
Content-Type: image/jpeg

(data starts here and ends with -----------------------------886261531333586100294758961 )

您在标头中有 Content-Length,并且在文件部分的标头中还有 Content-Type(每个文件都有自己的标头,这是多部分编码的目的)。请注意,通过猜测文件类型来设置相关的 Content-Type 是浏览器的责任;你不能保证它,但它对于早期拒绝应该是相当可靠的(但你最好在它完全可用时检查整个文件)。

现在,有一个问题。我曾经像这样过滤图像文件,不是在大小上,而是在 content-type 上;但是当您想尽快停止请求时,就会出现同样的问题:浏览器只有在整个请求发送后才会得到您的响应,包括表单内容和上传的文件

如果您不想要提供的内容并停止上传,您别无选择,只能粗暴地关闭套接字。用户只会看到一条令人困惑的“对等连接重置”消息。这很糟糕,但这是设计使然。

因此,您只想在后台异步检查的情况下使用此方法(使用检查文件字段的计时器)。所以我有那个黑客:

  • 我使用 jquery 告诉我文件字段是否已更改
  • 选择新文件后,禁用同一表单上的所有其他文件字段以仅获取该文件。
  • 异步发送文件(jQuery 可以为您完成,它使用隐藏框架)
  • 服务器端,检查标题(内容长度,内容类型,...),一旦你得到你需要的就切断连接。
  • 设置一个会话变量,告诉该文件是否正常。
  • 在客户端,当文件上传到框架时,如果连接关闭,您甚至不会得到任何反馈。您唯一的选择是计时器。
  • 在客户端,计时器轮询服务器以获取上传文件的状态。服务器端,您设置了会话变量,将其发送回浏览器。
  • 客户端有状态码;将其呈现为您的表单:错误消息,绿色复选标记/红色 X 等等。重置文件字段或禁用表单,由您决定。不要忘记重新启用其他文件字段。

很乱,嗯?如果你们中的任何人有更好的选择,我会全力以赴。

于 2008-11-11T12:22:55.993 回答
1
  1. 我不确定,但您不应该真正信任标头中发送的任何内容,因为它可能被用户伪造。

  2. 这取决于服务器的工作方式。例如,在 PHP 中,您的脚本在文件上传完成之前不会运行,因此这是不可能的。

于 2008-11-11T11:49:25.920 回答