1
我想限制允許上傳的文件類型爲圖片,pdf和文檔。推薦的方法是什麼?限制允許上傳的文件類型asp.net
我假設僅僅檢查文件擴展名是不夠的,因爲攻擊者可以根據自己的意願更改文件擴展名。
我也想過使用PostedFile.ContentType檢查MIME類型。
我還不知道這是否增加了單獨檢查文件擴展名以及攻擊者是否有能力輕鬆更改這些信息的功能。
這基本上是一個課程管理系統,供學生上傳作業和教師下載和查看它們。
謝謝。
A
回答
1
我同意驗證pranay_stacker顯示的擴展名,並檢查PostedFile.ContentType將提供另一層安全性。但是,它仍然依賴於客戶端設置的Content-Type標頭,因此容易受到攻擊。
如果你想保證文件類型,那麼你需要上傳文件並檢查前2個字節。沿(未經測試)東西線
string fileclass = "";
using(System.IO.BinaryReader r = new System.IO.BinaryReader(fileUpload1.PostedFile.InputStream))
{
byte buffer = r.ReadByte();
fileclass = buffer.ToString();
buffer = r.ReadByte();
fileclass += buffer.ToString();
r.Close();
}
if(fileclass!="3780")//.pdf 208207=.doc 7173=.gif 255216=.jpg 6677=.bmp 13780=.png
{
errorLiteral.Text = "<p>Error - The upload file must be in PDF format.</p>"
return;
}
這是非常粗糙,不健壯,希望有人可以擴大這一點。
0
要確定99%,您必須檢查上傳文件的magic numbers,就像UNIX file實用程序一樣。
+0
謝謝!這與盧克在上面的帖子中提供的方向類似。讀取前兩個字節足以獲得我需要的神奇數字的信息?這是獨立於平臺的解決方案嗎? – Eran 2010-06-16 14:37:13
+0
這取決於文件類型。有關示例,請參閱鏈接的Wikipedia文章。 – 2010-06-16 14:50:04
相關問題
- 1. 限制允許的文件上傳類型PHP
- 2. ASP.NET - 限制文件上傳可用文件類型
- 3. 限制要上傳的文件類型
- 4. 限制文件類型上傳組件
- 5. 允許的文件類型爲Ajax文件上傳
- 6. PHP文件上傳 - .htaccess允許的文件類型
- 7. PHP MIME類型,限制上傳文件
- 8. JQuery文件上傳預覽文件類型以允許所有文件類型
- 9. CodeIgniter上傳類允許的文件類型
- 10. 僅上載允許的文件類型
- 11. 啓用文件夾上的權限以允許文件上傳。
- 12. PHP文件上傳,如何限制文件上傳類型
- 13. 不應允許上傳受感染的文件/視頻。即使允許上傳文件/視頻類型(.mp4)
- 14. 限制允許的文件類型或獲取所選文件的文件名
- 15. 文件上傳不允許
- 16. 笨上傳TXT文檔 - 您嘗試上傳的文件類型爲不允許
- 17. 如何限制在泛型類中允許爲「T」的類型?
- 18. 文件類型不允許 - pdf上傳 - HippoCMS
- 19. 如何允許所有文件類型在php中上傳?
- 20. 在Codeigniter中上傳 - 您嘗試上傳的文件類型不允許
- 21. 文件上傳 - 在「文件上傳」窗口中限制文件類型
- 22. ASP.net MVC限制上傳文件
- 23. asp.net mvc文件上傳限制問題
- 24. 如何限制Kendo UI Web上傳僅允許單個上傳?
- 25. 設置上傳文件的權限以允許在ASP.NET中讀取
- 26. 貓鼬限制/允許文件
- 27. 將文件上傳類型限制爲僅限圖像
- 28. 文件上傳網站允許所有類型的文件危險?
- 29. 您嘗試上傳的文件類型是不允許在笨ODS文件
- 30. 如何根據文件類型限制文件上傳大小限制.htaccess
'PostedFile.ContentType'的值由攻擊者控制。不要檢查這個變量,這是浪費。 – rook 2010-06-16 18:45:49