MIME类型－服务端验证上传文件的类型的讨论

      MIME的作用 ： 使客户端软件，区分不同种类的数据，例如web浏览器就是通过MIME类型来判断文件是GIF图片，还是可打印的PostScript文件。

      web服务器使用MIME来说明发送数据的种类， web客户端使用MIME来说明希望接收到的数据种类。

      Tomcat的安装目录\conf\web.xml 中就定义了大量MIME类型 ，你可也去看一下。

 

      最近在做用表单上传文件，想在服务端验证上传文件的类型，只允许上传GIF,JPG,ZIP， 我们有两种方法， 第一：检查文件的扩展名， 第二：检查文件的MIME类型 。

     检查文件的扩展名的方法，很简单快捷， 但是  a.jsp 改名为 a.jpg能可以绕过检查上传了。

     检查文件的MIME类型的方法，在IE7与Firefox下有一点区别（见下表）， 有不同浏览器上传表现不一致。Firefox下ZIP与EXE文件的MIME类型同为application/octet-stream。

 

     或许可以，先检查扩展名， 再检查MIME，不合格的文件不让上传。

     这里也只是讨论，实际情况并不乐观。

 

表中例出的是在服务器端（tomcat5.5）接收不同浏览器上传的文件时，取得的MIME类型

 

	用IE7上传	用Firefox3.0上传
GIF	image/gif	image/gif
JPG	image/pjpeg	image/jpeg
ZIP	application/x-compressed	application/octet-stream
JSP	text/html	text/html
EXE	application/octet-stream	application/octet-stream

 

 

 

常见MIME类型例表：

 

 

序号	内容类型	文件扩展名	描述
1	application/msword	doc	Microsoft Word
2	application/octet-stream bin	dms lha lzh exe class	可执行程序
3	application/pdf	pdf	Adobe Acrobat
4	application/postscript	ai eps ps	PostScript
5	appication/powerpoint	ppt	Microsoft Powerpoint
6	appication/rtf	rtf	rtf 格式
7	appication/x-compress	z	unix 压缩文件
8	application/x-gzip	gz	gzip
9	application/x-gtar	gtar	tar 文档 (gnu 格式 )
10	application/x-shockwave-flash	swf	MacroMedia Flash
11	application/x-tar	tar	tar(4.3BSD)
12	application/zip	zip	winzip
13	audio/basic	au snd	sun/next 声音文件
14	audio/mpeg	mpeg mp2	Mpeg 声音文件
15	audio/x-aiff	mid midi rmf	Midi 格式
16	audio/x-pn-realaudio	ram ra	Real Audio 声音
17	audio/x-pn-realaudio-plugin	rpm	Real Audio 插件
18	audio/x-wav	wav	Microsoft Windows 声音
19	image/cgm	cgm	计算机图形元文件
20	image/gif	gif	COMPUSERVE GIF 图像
21	image/jpeg	jpeg jpg jpe	JPEG 图像
22	image/png	png	PNG 图像

 

评论

10 楼 myy 2009-01-10  

tiyi 写道

确实是不稳定。

UTF-8的XML文件(也就是文本文件)
Content-Disposition: form-data; name="file"; filename="C:\wxl.zip"
Content-Type: application/octet-stream


RAR文件
Content-Disposition: form-data; name="file"; filename="C:\AKM-084.txt"
Content-Type: text/plain

不是“不稳定”，是根本没有“绝对准确”的办法，就连那些Mime也是约定俗成的。

IE的做法，基本上主要是靠后缀，但他也会根据读取的文件头部内容“猜一下”真正的Mime，因此对于简单的 txt，应用广泛的jpg,gif，或自家的 office 文件什么的就比较准确了。

9 楼 tiyi 2009-01-09  

确实是不稳定。

UTF-8的XML文件(也就是文本文件)
Content-Disposition: form-data; name="file"; filename="C:\wxl.zip"
Content-Type: application/octet-stream


RAR文件
Content-Disposition: form-data; name="file"; filename="C:\AKM-084.txt"
Content-Type: text/plain

8 楼 myy 2009-01-09  

tiyi 写道

经过求证，浏览器有读取文件内容。不受扩展名欺骗。

Content-Disposition: form-data; name="file"; filename="c:\a.gif"
Content-Type: text/plain

ddd

这个也不靠谱的，你可以多试几种文件类型看看。

7 楼 czx566 2009-01-09  

哦，看样子我又想当然了~

6 楼 tiyi 2009-01-09  

经过求证，浏览器有读取文件内容。不受扩展名欺骗。

Content-Disposition: form-data; name="file"; filename="c:\a.gif"
Content-Type: text/plain

ddd

5 楼 tiyi 2009-01-09  

elf8848 写道

引用

疑惑。
我如果把一个a.jsp文件改名为a.jpg上传，mime是text/html还是image/gif？难道浏览器会判断该文件的真正类型？

不是浏览器会判断该文件的真正类型, 而是上传后,在服务端判断.

yiyu说的情况是：你所取得的mime是浏览器提供的，包含在request。也就是这个数据源来自客户端的声明。而客户端是“按照文件扩展名来确定mime”，因此容易欺骗。

因此你说的 上传后 在服务器端 判断 ，除非你真的开了个 java.io.File 去读文件头，否则mime type也不是可信任的来源。

引号中内容我未求证。

4 楼 elf8848 2009-01-09  

引用

疑惑。
我如果把一个a.jsp文件改名为a.jpg上传，mime是text/html还是image/gif？难道浏览器会判断该文件的真正类型？

不是浏览器会判断该文件的真正类型, 而是上传后,在服务端判断.

3 楼 czx566 2009-01-07  

yiyu 写道

疑惑。
我如果把一个a.jsp文件改名为a.jpg上传，mime是text/html还是image/gif？难道浏览器会判断该文件的真正类型？

虽然没试过，但应该不会~ 浏览器应该没那么强大~

2 楼 yiyu 2009-01-07  

疑惑。
我如果把一个a.jsp文件改名为a.jpg上传，mime是text/html还是image/gif？难道浏览器会判断该文件的真正类型？

1 楼 llp20_2000 2009-01-07  

此文对我颇有帮助,收藏了仔细看.