我知道从安全角度来看这不安全。但为了方便起见,我打算使用javascript代码。所以就像第一次传球一样。 我的目标是避免任何误报,即如果恶意黑客操纵文件以拥有我接受的mime类型(因为我将在服务器端进行第二次传递),但是我希望阻止合法文件被发现有问题。
更新
答案 0 :(得分:1)
只要您确认服务器端的类型,就可以了。
在客户端上使用它只会给最终用户带来便利。你是如何确定哑剧类型的?如果只是在扩展,那么您也可以在客户端检查有效的扩展名。
它似乎只是将扩展名映射到文件类型,因为png重命名为mp3 mpeg/audio代码。
因此,请确保通过检查文件的内容而不是其扩展名来验证服务器上的类型。