ASP.NET通过byte正确安全的判断上传文件格式

Posted 性能、可用性、伸缩性、扩展性、安全性、可监控是网站架构最核心

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了ASP.NET通过byte正确安全的判断上传文件格式相关的知识,希望对你有一定的参考价值。

本文介绍一种更安全的方式上传图片,他能有效的防止一些通过修改文件后缀或MIME来伪造的图片的上传,从而保证服务器的安全,希望对大家有所帮助。

ASP.NET中在判断文件格式时,我们以前常用的方法就是通过截取扩展名来做判断,或者通过ContentType (MIME) 判断,这两种方法都不太安全,因为这两种方式用户都可以伪造,从而达可以攻击网站,实现给网站挂马等目的。

下面介绍通过byte获取文件类型,来做判断的方式

if (Request.Files.Count > 0)
{
  //这里只测试上传第一张图片file[0]
  HttpPostedFile file0 = Request.Files[0];
     
  //转换成byte,读取图片MIME类型
  Stream stream;
  //int contentLength = file0.ContentLength; //文件长度
  byte[] fileByte = new byte[2];//contentLength,这里我们只读取文件长度的前两位用于判断就好了,这样速度比较快,剩下的也用不到。
  stream = file0.InputStream;
  stream.Read(fileByte, 0, 2);//contentLength,还是取前两位
  stream.Close();
     
  string fileFlag = "";
  if (fileByte != null && fileByte.Length > 0)//图片数据是否为空
  {
    fileFlag = fileByte[0].ToString() + fileByte[1].ToString();         
  }
  string[] fileTypeStr = { "255216", "7173", "6677", "13780" };//对应的图片格式jpg,gif,bmp,png
  if (fileTypeStr.Contains(fileFlag))
  {
    file0.SaveAs(Server.MapPath("~/" + file0.FileName));
  }
  else
  {
    Response.Write("图片格式不正确:" + fileFlag);
  }
}

常见文件类型对应的byte数据

199196 sqlite数据库文件
7076 flv视频文件
6787 swf视频文件
7173 gif
255216 jpg
13780 png
6677 bmp
239187 txt,aspx,asp,sql
208207 xls.doc.ppt
6063 xml
6033 htm,html
4742 js
8075 xlsx,zip,pptx,mmap,zip,docx
8297 rar
01 accdb,mdb
7790 exe,dll
5666 psd
255254 rdp
10056 bt种子
64101 bat
255254 csv
3780 pdf

以上是关于ASP.NET通过byte正确安全的判断上传文件格式的主要内容,如果未能解决你的问题,请参考以下文章

将用户上传的 CSV 文件从 ASP.NET 解析到 MySQL DB。安全问题

关于asp.net 获取文件路径的问题

asp.net上传图片文件通过名称覆盖原有相同名称的文件出问题。。

Asp.Net判断文件是否存在

asp.net多文件上传并把路劲保存到SQL数据库

asp.net(c#)如何上传大文件?