使用nodejs验证文件上传

时间:2018-08-19 22:59:45

标签: javascript node.js

我有下面的代码用于将图像上传到服务器。我需要在生产中部署代码。目前,该代码仅基于mimetypes文件格式进行验证,并确保所有上传的文件都具有.png扩展名。我知道这种安全性还不够,因为有人很容易破坏图像标题等等。我还发现一些黑客现在使用诸如glimp等工具嵌入可执行代码。请有人帮助我使此代码更安全,免受文件上传攻击

exports.photo = function(req, res){
var multer  =   require('multer');
var storage =   multer.diskStorage({
  destination: function (req, file, callback) {



if(file.mimetype !== 'image/png' && file.mimetype !== 'image/jpg' && file.mimetype !== 'image/jpeg'){
                    res.send("Supported image files are jpeg, jpg, and png");
                    return false;
                }
callback(null, './uploads');

  },
  filename: function (req, file, callback) {
    callback(null, file.fieldname + '-' + Date.now() +'.png');
  },

});


var upload = multer({ storage : storage},{limits : {fieldNameSize : 20}}).single('userPhoto');
    upload(req,res,function(err) {


        if(err) {
            return res.end("Error uploading file.");
        }

console.log(req.files);
console.log(req.file);
        res.end("File is uploaded");
    });

}

1 个答案:

答案 0 :(得分:0)

您可以尝试使用此模块Image-Type来检查图像格式。这样,如果有人尝试破坏图像,则该模块将无法识别有效格式并将其阻止。