您的位置:首页 > 编程技术 > csharp  >  http图片上传安全性问题 根据ContentType (MIME) 判断其实不准确、不安全

http图片上传安全性问题 根据ContentType (MIME) 判断其实不准确、不安全

 更新时间:2020年6月25日 11:27  点击:1664

图片上传常用的类型判断方法有这么几种---截取扩展名、获取文件ContentType (MIME) 、读取byte来判断(这个什么叫法来着?)。前两种都有安全问题。容易被上传不安全的文件,如木马什么的。第1种截取文件扩展名来判断的方法很明显不安 全,第2种ContentType MIME可以伪造,所以用ContentType来判断其实也不安全。建议采用第3种。

C#演示:

1.截取扩展名来做判断,不可取。

if (Request.Files.Count > 0)
{
  //这里只测试上传第一张图片file[0]
  HttpPostedFile file0 = Request.Files[0];
  string ext = file0.FileName.Substring(file0.FileName.LastIndexOf('.') + 1);//文件扩展名string[] fileTypeStr = { "jpg", "gif", "bmp", "png" };
  if (fileTypeStr.Contains(ext))
  {
    file0.SaveAs(Server.MapPath("~/" + file0.FileName));//保存文件  }
  else
  {
    Response.Write("图片格式不正确" + ext);
  }
}

2.判断ContentType (MIME) ,比第1种方案安全。但其实ContentType是可伪造的,所以也不够安全。

if (Request.Files.Count > 0)
{
//这里只测试上传第一张图片file[0]
  HttpPostedFile file0 = Request.Files[0];
  string contentType = file0.ContentType;//文件类型string[] fileTypeStr = { "image/gif","image/x-png","image/pjpeg","image/jpeg","image/bmp"};
  if (fileTypeStr.Contains(contentType))
  {
    file0.SaveAs(Server.MapPath("~/" + file0.FileName));
  }
  else
  {
    Response.Write("图片格式不正确" + contentType);
  }
}

3.通过byte获取文件类型,来做判断。

if (Request.Files.Count > 0)
{
//这里只测试上传第一张图片file[0]
  HttpPostedFile file0 = Request.Files[0];
  //转换成byte,读取图片MIME类型  Stream stream;
  //int contentLength = file0.ContentLength; //文件长度byte[] fileByte = newbyte[2];//contentLength,这里我们只读取文件长度的前两位用于判断就好了,这样速度比较快,剩下的也用不到。
  stream = file0.InputStream;
  stream.Read(fileByte, 0, 2);//contentLength,还是取前两位  stream.Close();
  string fileFlag = "";
  if (fileByte != null && fileByte.Length > 0)//图片数据是否为空  {
    fileFlag = fileByte[0].ToString() + fileByte[1].ToString();         
  }
  string[] fileTypeStr = { "255216", "7173", "6677", "13780" };//对应的图片格式jpg,gif,bmp,pngif (fileTypeStr.Contains(fileFlag))
  {
    file0.SaveAs(Server.MapPath("~/" + file0.FileName));
  }
  else
  {
    Response.Write("图片格式不正确:" + fileFlag);
  }
}

以上内容就是本文给大家叙述的http图片上传安全性问题 根据ContentType (MIME) 判断其实不准确、不安全,希望大家喜欢。

[!--infotagslink--]

相关文章

  • IIS自定义MIME类型的步骤

    IIS自定义MIME类型很简单,直接在服务器上设置,按照如下步骤操作就可以...2016-01-27

  • WIN2003中使用IIS配置手机下载类WAP网站的MIME类型介绍

    配置过很多WAP站点了 尤其是手机下载类站点是很麻烦的 因为他需要添加大量的下载格式这样手机玩家才能通过你的WAP站点下载手机图片 铃声 程序等各类资源 ...2016-01-27

  • IIS .7z文件支持下载的添加方法

    由于7z文件的高压缩很多下载网站使用了7z格式文件,但iis中却不想rar那样可以直接下载,所以需要我们设置下,这样就可以iis中下载7z格式文件了...2016-01-27

  • php image_type_to_mime_type

    php image_type_to_mime_type image_type_to_mime_type - 获取MIME的图像类型和getimagesize返回类型,exif_read_data,exif_thumbnail,本函数 <?php $filename = 'http:...2016-11-25

  • Java获取文件ContentType案例

    这篇文章主要介绍了Java获取文件ContentType案例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧...2020-08-25

  • Win2003 手机站IIS MIME类型设置大全

    在手机软件下载站越来越流行,由于手机软件格式不同,当下载cad,apk格式的文件时并不能直接下载,要想实现和普通软件一样的下载功能,需要在iis网站属性mime类型中进行设置...2016-01-27

  • http图片上传安全性问题 根据ContentType (MIME) 判断其实不准确、不安全

    图片上传常用的类型判断方法有这么几种---截取扩展名、获取文件ContentType (MIME) 、读取byte来判断(这个什么叫法来着?)。下面由脚本之家小编跟大家分享图片上传安全性问题,感兴趣的朋友一起看看吧...2020-06-25