如何防止在asp.net mvc中上传exe文件

Posted 2023-02-24

【中文标题】如何防止在asp.net mvc中上传exe文件

【英文标题】：how to prevent uploading of exe file in asp.net mvc

【发布时间】：2011-10-19 08:39:29

【问题描述】：

我正在寻找一个好的解决方案，通过它我们可以防止将 exe 文件上传到服务器上。

如果我们可以通过在收到文件头后立即读取文件头而不是等待整个文件上传来放弃上传，那将是最好的。

我已经实现了扩展检查，正在寻找更好的解决方案。

【问题讨论】：

文件头可以伪造。检查上传数据的前两个字节 - 如果是 MZ，那么您很可能有一个可执行文件。

重复：***.com/questions/3635128/…

【参考方案1】：

有一个如何和一个何时/何地部分。方法相当简单，因为二进制文件确实包含一个标头，而且标头很容易剥离和检查。 windows文件可以查看文章Executable-File Header Format。类似的格式用于其他二进制类型，因此您可以确定允许和不允许的类型。

注意：链接文章用于文件的完整查询。有一些廉价、低效和肮脏的捷径，您只需检查几个字节。

何时/何地取决于您获取文件的方式。如果您使用高度抽象的方法（上传库），这很正常，您可能必须先流式传输整个文件，然后才能开始查询位。它是流式传输到内存还是您必须保存和删除取决于您的编码，甚至可能是库。如果您控制向上流式传输，则可以在第一个字节（标头部分）中进行流式传输并在中间流中中止该过程。

【讨论】：

在该链接上找不到页面。

【参考方案2】：

访问上传数据的第一个点是 HttpModule。 从技术上讲，您可以在发送所有字节之前检查是否有 .exe 并取消上传。它可能会变得相当复杂，具体取决于您想采取多远。

我建议你看看 Brettle 的 NeatUpload 的 HttpModule。也许它可以引导您在想要的级别上处理这个问题。

【参考方案3】：

我认为您可以通过 javascript 在提交数据之前检查文件是否以 .exe 结尾并检查服务器端来做到这一点。