我有一个服务器脚本从Javascript接收上传的文件。
客户端,使用File对象(来自W3C File API)和类似于此行的代码:
if (file.type.indexOf("text") == 0) { ... }
可以检查文件类型。显然,这使用MIME type(返回these strings)。
在我通过SO旅行的过程中,我冒险尝试this worthy contributor,他坚持认为MIME类型毫无用处。
在文件上传情况下,MIME类型确实基本无用,因此任何类型检查都应该在服务器端进行吗?
答案 0 :(得分:3)
该贡献者认为所有 MIME类型检查都是无用的,客户端或服务器端。
在某种程度上他是对的。 MIME类型检查始终基于嗅探文件的某些特征。他的例子:PDF文件应该以{{1}}之类的东西开头。但是以%PDF-1.4开头的文件不一定是PDF文件。 (简化说明。)
用户可以在所有正确的位置放置所有正确的提示,以便MIME检测器将文件检测为某种特定类型,因为它会查看这些特定提示。但是文件的其余部分可能会完全不同。如果你去那么远,那么什么使某个类型的文件呢?它只是二进制gobbledygook。最后,确保文件是X类型的有效文件的唯一方法是尝试使用需要类型为X的文件的解析器打开并解析它。如果它正确解析,它的文件可用作为X型。如果它像鸭子一样走路,就像鸭子一样嘎嘎叫......
考虑到这一点,尝试解析文件比嗅探MIME类型更好,服务器端比嗅探MIME类型客户端更好,比使用用户的文字更适合于什么类型的文件是。请注意,客户端MIME类型嗅探与将用户的单词用于任何内容一样不可靠,因为它都发生在客户端。
答案 1 :(得分:3)
贡献者是正确的。您不能仅依靠MIME类型检查来真正验证文件。它仅对快速查找有用。例如,在客户端,您可以在将文件发送到服务器之前检查文件的MIME类型,以防用户选择了错误的文件类型,从而节省了时间和带宽。为自由使用逗号而道歉!