Javascript：上传文件...没有文件

Question

我试图伪造文件上传而不实际使用用户输入的文件。文件的内容将从字符串中动态生成。

这可能吗？有没有人曾经这样做过？有没有例子/理论？

为了澄清，我知道如何使用隐藏的iframe和朋友使用AJAX技术上传文件 - 问题是上传不在表单中的文件。

我正在使用ExtJS，但是由于ExtJS可以插入它（ext-jquery-base），因此jQuery也是可行的。

Answer 1

为什么不将XMLHttpRequest()用于POST？

function beginQuoteFileUnquoteUpload(data)
{
    var xhr = new XMLHttpRequest();
    xhr.open("POST", "http://www.mysite.com/myuploadhandler.php", true);
    xhr.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
    xhr.onreadystatechange = function ()
    {
        if (xhr.readyState == 4 && xhr.status == 200)
            alert("File uploaded!");
    }
    xhr.send("filedata="+encodeURIComponent(data));
}

服务器上的处理程序脚本只是将文件数据写入文件。

修改
文件上传仍然是具有不同内容类型的http帖子。您可以使用此内容类型并将内容与边界分开：

function beginQuoteFileUnquoteUpload(data)
{
    // Define a boundary, I stole this from IE but you can use any string AFAIK
    var boundary = "---------------------------7da24f2e50046";
    var xhr = new XMLHttpRequest();
    var body = '--' + boundary + '\r\n'
             // Parameter name is "file" and local filename is "temp.txt"
             + 'Content-Disposition: form-data; name="file";'
             + 'filename="temp.txt"\r\n'
             // Add the file's mime-type
             + 'Content-type: plain/text\r\n\r\n'
             + data + '\r\n'
             + boundary + '--';

    xhr.open("POST", "http://www.mysite.com/myuploadhandler.php", true);
    xhr.setRequestHeader(
        "Content-type", "multipart/form-data; boundary="+boundary

    );
    xhr.onreadystatechange = function ()
    {
        if (xhr.readyState == 4 && xhr.status == 200)
            alert("File uploaded!");
    }
    xhr.send(body);
}

如果要发送其他数据，只需将每个部分与边界分开，并描述每个部分的内容处置和内容类型标题。每个标题由换行符分隔，主体通过附加换行符与标题分隔。当然，以这种方式上传二进制数据会稍微困难一些： - ）

进一步编辑：忘记提及，确保您发送的文本“文件”中没有任何边界字符串，否则将被视为边界。

Answer 2

如果您不需要支持旧浏览器，可以使用FormData对象，它是File API的一部分：

var formData = new FormData();
var blob = new Blob(['Lorem ipsum'], { type: 'plain/text' });
formData.append('file', blob,'readme.txt');

var request = new XMLHttpRequest();
request.open('POST', 'http://example.org/upload');
request.send(formData);

所有当前浏览器（IE10 +）

都支持文件Api

• https://developer.mozilla.org/en-US/docs/Web/API/FormData
• http://caniuse.com/#feat=fileapi

Answer 3

只需分享最终结果即可，并且无需硬编码即可添加/删除参数。

var boundary = '-----------------------------' +
            Math.floor(Math.random() * Math.pow(10, 8));

    /* Parameters go here */
var params = {
    file: {
        type: 'text/plain',
        filename: Path.utils.basename(currentTab.id),
        content: GET_CONTENT() /* File content goes here */
    },
    action: 'upload',
    overwrite: 'true',
    destination: '/'
};

var content = [];
for(var i in params) {
    content.push('--' + boundary);

    var mimeHeader = 'Content-Disposition: form-data; name="'+i+'"; ';
    if(params[i].filename)
        mimeHeader += 'filename="'+ params[i].filename +'";';
    content.push(mimeHeader);

    if(params[i].type)
        content.push('Content-Type: ' + params[i].type);

    content.push('');
    content.push(params[i].content || params[i]);
};

    /* Use your favorite toolkit here */
    /* it should still work if you can control headers and POST raw data */
Ext.Ajax.request({
    method: 'POST',
    url: 'www.example.com/upload.php',
    jsonData: content.join('\r\n'),
    headers: {
        'Content-Type': 'multipart/form-data; boundary=' + boundary,
        'Content-Length': content.length
    }
});

经测试，这适用于所有现代浏览器，包括但不限于：

• IE6 +
• FF 1.5 +
• Opera 9 +
• Chrome 1.0 +
• Safari 3.0 +

Answer 4

文件上传它只是一个POST请求，该文件内容已正确编码并带有特殊的multipart/formdata标头。您需要使用<input type=file />，因为您的浏览器安全性禁止您直接访问用户磁盘。

由于您不需要阅读用户磁盘，是，您可以使用Javascript伪造它。它只是一个XMLHttpRequest。要伪造“真实”上传请求，您可以安装Fiddler并检查外发请求。

您需要正确编码该文件，因此此链接非常有用：RFC 2388: Returning Values from Forms: multipart/form-data

Answer 5

我刚刚使用Firefox TamperData插件捕获了这个POST_DATA字符串。我提交了一个表单，其中一个名为“myfile”的type="file"字段和名为“btn-submit”的提交按钮的值为“Upload”。上传文件的内容为

Line One
Line Two
Line Three

所以这是POST_DATA字符串：

-----------------------------192642264827446\r\n
Content-Disposition: form-data;    \n
name="myfile"; filename="local-file-name.txt"\r\n
Content-Type: text/plain\r\n
\r\n
Line \n
One\r\n
Line Two\r\n
Line Three\r\n
\r\n
-----------------------------192642264827446\n
\r\n
Content-Disposition: form-data; name="btn-submit"\r\n
\r\n
Upload\n
\r\n
-----------------------------192642264827446--\r\n

我不确定这个数字意味着什么（192642264827446），但这不应该太难找到。

Answer 6

轻松模仿＆＃34;假＆＃34;使用jQuery上传文件：

var fd = new FormData();
var file = new Blob(['file contents'], {type: 'plain/text'});

fd.append('formFieldName', file, 'fileName.txt');

$.ajax({
  url: 'http://example.com/yourAddress',
  method: 'post',
  data: fd,
  processData: false,        //this...
  contentType: false         //and this is for formData type
});

Answer 7

在我在有效负载中的最终'--'之前添加了额外的boundary之后，

https://stackoverflow.com/a/2198524/2914587为我工作了：

var body = '--' + boundary + '\r\n'
         // Parameter name is "file" and local filename is "temp.txt"
         + 'Content-Disposition: form-data; name="file";'
         + 'filename="temp.txt"\r\n'
         // Add the file's mime-type
         + 'Content-type: plain/text\r\n\r\n'
         + data + '\r\n'
         + '--' + boundary + '--';