由于嵌入式限制,我们在服务器端自定义处理文件上传。
Firefox浏览器中使用的HTML文件上传代码:
<html>
<body>
<form action="http:///192.168.1.1/upload.cgi" name="form_1" method="post" enctype="multipart/form-data" >
<input type="file" id="file" name="filename" content-type="application/octet-stream">
<input type="submit" name="mysubmit" value="Send">
</form>
<body>
</html>
如果所选文件名为“fish.jpg”,则服务器将其内容类型称为“image / jpeg”。如果文件被重命名为没有文件扩展名的“fish”,则服务器将其内容类型作为“application / octet-stream”接收,这是我们想要的。
有没有办法在HTML页面中强制使用“application / octet-stream”(有或没有常规JavaScript)?
提前致谢, 伯特
答案 0 :(得分:6)
没有。没有content-type="..."属性。无论是否使用JavaScript,您都无法影响浏览器在Content-Type子部分中multipart/form-data标题的选择。
为什么重要?服务器端脚本对Content-Type做了很多事情是个坏主意,因为它常常是不准确的。处理image/jpeg上传与application/octet-stream不同的内容是不应该做的事情,尤其是因为浏览器可能选择将JPEG上传为application/octet-stream或其他内容(特别是IE通常喜欢发送image/pjpeg)。
如果您控制服务器端并获得正确的文件上载类型至关重要,则应该有一个界面供用户手动选择。 (您可以使用JavaScript文件扩展名嗅探和/或Content-Type来设置默认值,但不要依赖它们。)
答案 1 :(得分:1)
有没有办法强迫 HTML中的“application / octet-stream” 页面(有或没有常规 的JavaScript)?
你不应该在html中设置内容类型。坏人可以轻松上传旁路。方法是进行适当的服务器端验证。