我已经看到了这个 SO 问题的答案:Trusting "Content-Type" on File Uploads
它们在直觉上是有意义的。
但是,根据 RFC 2616 Sec 7.2.1,
“当且仅当媒体类型不是由 Content-Type 字段给出时,接收者可以尝试通过检查其内容和/或用于识别资源的 URI 的名称扩展名来猜测媒体类型。 "
我想知道将 RFC 这部分应用于服务器时背后的原因 - 为什么服务器应该信任客户端的标头并且仅在缺少内容检查时才回退?效率是我能想到的原因之一。或者我可能误解了 RFC?