标签: file-upload webserver content-type rfc2616
我已经看到了这个问题的答案:Trusting "Content-Type" on File Uploads
他们直觉上有道理。
但是,根据RFC 2616 Sec 7.2.1,
"当且仅当内容类型字段未给出媒体类型时, 收件人可以通过检查来尝试猜测媒体类型 其内容和/或用于标识的URI的名称扩展名 资源。"
我想知道在应用于服务器时RFC的这一部分背后的原因 - 为什么服务器应该信任客户端的头部,只有在缺少内容检查时才会回退?效率是我能想到的一个原因。或许我误解了RFC?