Struts FileUpload拦截器处理allowedTypes时引起的怪异问题及解决办法

最新推荐文章于 2017-11-23 13:24:35 发布
最新推荐文章于 2017-11-23 13:24:35 发布
阅读量284 收藏
点赞数
文章标签: FileUploadInterceptor application/octet-stream uploadContentType 文件上传 office
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/giveme38/article/details/84319781
版权

问题描述:

      话说有一上传功能,使用struts FileUpload拦截器对上传的文件类型、容量大小进行限制,这里略去实现细节。文件类型限制,允许MS Office下的doc、docx、xls、xlsx、ppt、pptx文件上传,经过一段时间测试后,发现某些客户端(事后总结:某些操作系统(发现多为windows XP的某些ghost精简版)会报出错误信息“上传文件类型不对”。

      拦截器配置代码:

 

 

 

<action name="savedatumforadd" class="classRoomAction" method="saveDatumForAdd">
		<interceptor-ref name="paramsPrepareParamsStack" />
			<interceptor-ref name="fileUpload">
                <param name="allowedTypes">application/vnd.ms-excel,application/msword,
                application/vnd.ms-powerpoint,text/plain,application/pdf,
                application/vnd.openxmlformats-officedocument.wordprocessingml.document,
                application/vnd.openxmlformats-officedocument.spreadsheetml.sheet,
                application/vnd.openxmlformats-officedocument.presentationml.presentation
             </param>
                 <param name="maximumSize">102400000</param>
			</interceptor-ref>
            <interceptor-ref name="defaultStack" />		
			<result name="input">/WEB-INF/templates/input.ftl</result>
    		<result name="success">/WEB-INF/templates/success.ftl</result>
		</action>
 

 

 

 

跟踪问题:既然类型不对,在Action里查看uploadContentType

 

private String uploadContentType; 
public String getUploadContentType () {
		return addflag;
	}
public void setUploadContentType (String  uploadContentType ) {
		this. uploadContentType   =  uploadContentType  ;
	}
 

在调试日志里输出uploadContentType,发现doc、xls、ppt也即office 2003以下版本的文件,在有异常客户端时被输出为application/octet-stream;2007的docx、xlsx、ppts则被输出为application/x-zip-compressed。

 

    进一步查阅FileUploadInterceptor.java源码,可以了解到文件类型的数据来源直接来自客户端,那客户端有没有一个地方像tomcat下web.xml配置mime-mapping的地方呢。网上有网友说起windows注册表,并说到

   HKEY_LOCAL_MACHINE->SOFTWARE->Classes->MIME-Database->Content Type

去查看异常的客户端的注册表,发现没有该项。从正常客户机导入此项,还是报同样的错误,发现在HKEY_CLASSES_ROOT下还缺少键.doc .docx等相关键值,从正常客户机导入.doc的相关键值,新开浏览器,上传一个doc文件,不再报错误信息了。

 

问题的本质:所有浏览器都能根据本操作对文件类型做出判断,但这依赖于当前的操作,就像windows对文件类型的判断依赖于相应的注册表。其他如IOS操作系统也有可能出类似错误。如果客户端的操作系统相关mime-mapping故意置错或是没有数据,此时服务端就会从客户端得到错误的文件类型信息。从本质上来说,像这样从客户端获取文件类型信息来判断文件类型是否正确是比较粗糙的,并有可能被客户端恶意欺骗。

 

解决问题方案:

1、就上传不了office这几种文件类型,可以找一台正确的mime-mapping相关注册表信息导出。如果有windows下不能上传office这几种文件类型的用户,下载正确的注册表信息文件,并导入。该方案的好处是对于服务端来说相对安全,但这样对用户来说操作上比较麻烦,并且该解决方案且限于mime-mapping,并且不能解决恶意修改mime-mapping的客户端。

2、判断文件类型,放宽判断条件application/octet-stream,application/x-zip-compressed,这样异常的客户端就能上传office文件了,但application/octet-stream实际上对应的是.dll,.a,.bin,.exe,.so等文件类型application/x-zip-compressed对应.zip文件,放宽了这两个类别,等于这些文件都能上传了。这时可以进一步通过文件扩展名来限制上传的类别。这样的解决方案对于一般用户的需求是足够了,但还是不能解决恶意修改mime-mapping的客户端的情况,另外还存在一种情况就是用户故意把.dll改成.doc来上传,也是无能为力。

3、上传之后的文件类型判断,在第2种办法方案的基础上,在用户成功上传文件后,在服务端的操作层面再次判断其文件类别,因为这个判断是依赖于服务端本身,因此可以确保文件类型检查结果的正确性。这种方案最为安全,但是增加了工作量而且占用服务端更多的资源,如果没有很高的安全要求,可以选择第2种方案,如果需求高级别的安全可以再考虑服务端再做一层。

giveme38
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Struts文件上传allowedTypes问题,烦人的“允许上传的文件类型”
SMCwwh
03-13 1万+
Struts文件上传问题,相信很多人都会使用allowedTypes参数来配置允许上传的文件类型,如下。 image/png,image/bmp,image/jpg 但是,用过这个参数的人都知道,allowedTypes是“文件类型”, 而不是“文件后缀名”,文件类型与文件后缀名有什么区别呢? 就如后缀名为bmp的图片的文件类型为image/bmp,后缀名为xls的Exce
文件上传 allowedTypes设置
持久的飓风
05-31 728
&lt;interceptor-stack name="fileUploadStack"&gt;    &lt;interceptor-ref name="fileUpload"&gt;     &lt;param name="maximumSize"&gt;4096000&lt;/param&gt;     &lt;param name="allowedTypes&
Struts2 文件上传文件类型allowedTypes汇总
somayuki的专栏
09-21 624
.a : application/octet-stream .ai : application/postscript '.aif' : 'audio/x-aiff', '.aifc' : 'audio/x-aiff', '.aiff' : 'audio/x-aiff',
Struts2 上传文件allowedTypes详解
smile725775的专栏
06-05 8832
原文地址:http://www.iteye.com/topic/1121677 Struts2文件上传,基本的配置如下: UploadFileAction Java代码   package jp.co.ricoh.action.upload;    import java.io.BufferedInputStream;  import java.io.BufferedO
struts2 allowedTypes
12-19
`allowedTypes` 是Struts2的`FileUpload`拦截器中的一个配置项,它允许你指定一个字符串列表,这个列表包含了服务器接受的文件扩展名。这个配置可以防止不受支持或者可能有害的文件类型被上传到服务器。例如,如果你...
struts2_上传allowedTypes_类型
05-28
这个拦截器处理表单提交会检查上传的文件是否符合`allowedTypes`设定的类型。如果上传的文件类型不在列表内,那么文件上传将会被拦截并抛出错误。 `allowedTypes`的配置通常在Action类或者Struts2配置文件...
Struts2 文件上传之文件类型 allowedTypes.txt
03-17
在这个例子中,我们定义了一个名为`myFileUpload`的拦截器,并指定了允许上传的文件类型为所有图像文件和PDF文件。 #### 4. 文件类型与allowedTypes的转换 在Struts2中,`allowedTypes`接受两种格式的输入:MIME...
java中Struts2文件上传问题详解
09-03
这里定义了一个名为UploadFile的action,并且使用了Struts2提供的fileUpload拦截器处理上传。这个拦截器允许我们配置上传文件的大小限制和文件类型。为了限制上传文件的大小,拦截器中使用了来设置最大上传文件...
java文件上传拦截器.pdf
11-23
-- 配置fileUpload拦截器 --> <interceptor-ref name="fileUpload"> <param name="allowedTypes">image/bmp,image/png,image/jpg,image/gif,application/vnd.ms-excel <param name="maximumSize">200000 <!-- ...
文件上传allowedTypes和文件下载contentType(mimeType)
menghuannvxia的专栏
11-23 799
转载自:http://blog.csdn.net/aceaddi/article/details/4446064 我们在做文件上传和下载,常常要用到以下mimeType,下面列出来供大家参考参考!希望多顶顶           '.a'      : 'application/octet-stream',         '.ai'     : 'application/po
struts2文件上传,文件类型 allowedTypes
weixin_30390075的博客
04-22 145
1 '.a' : 'application/octet-stream', 2 '.ai' : 'application/postscript', 3 '.aif' : 'audio/x-aiff', 4 '.aifc' : 'audio/x-aiff', 5 ...
Struts文件上传allowedTypes/allowedExtensions问题
lyhmyway的专栏
03-05 4990
最近做SSH项目要实现文件上传的功能于是就用到了Struts2中的拦截器对文件的大小和类型进行筛选,我要求用户只能上传图片格式的文件,于是在struts.xml中使用了以下代码: /images /WEB-INF/page/message.jsp /upload/uplo
struts2--上传总结(限制大小和类型 非法上传的跳转)
weixin_30273931的博客
10-19 134
struts2--上传总结(限制大小和类型 非法上传的跳转) 网上有很多版本,鉴于实践出真知的态度 我自己探索了一番 struts版本:2.3.16 限制大小: struts2默认是2M 所以如果要扩大大小限制,应该先配一个全局struts2最大上限 <constant name="struts.mult...
allowedTypes的类型对照
花开冬季
01-17 5717
allowedTypes的类型对照如下:  application/octet-stream(无限制) 其他: 3gp video/3gpp aab application/x-authoware-bin aam application/x-authoware-map aas application/x-authowa
Struts2文件上传-fileUpload拦截器
z69183787的专栏
06-26 5859
Struts2自带了文件上传拦截器方便进行文件上传,要使用这个功能,必须给使用了Struts2框架的工程添加commons.io包,然后在struts.xml里进行以下设置: 在标签之外添加,这句指定了上传文件的临存放目录,以这句为例,临存放目录为应用所在根目录下的temp文件夹,假设我的应用放在D:\ProgramFiles\apache-tomcat-6.0.24\webapps下,
struts上传文件失败 Content-Type not allowed错误解决方法【转】
anbo7035的博客
10-23 238
转自:http://mmz06.blog.163.com/blog/static/1214169620106195829950/ 错误信息如下: Content-Type not allowed: pic "upload__29a248bd_1298df50ce0__8000_00000008.tmp" image/pjpeg struts.xml配置信息如下: <acti...
Struts2拦截器FileUploadInterceptor
weixin_30598225的博客
10-03 259
一、它能做什么? 借助于这个拦截器我们可以实现文件的上传和下载功能。 理论部分: struts2的文件上传下载功能也要依赖于Apache commons-fileupload和Apache commons-io两个开源项目,要使用上传功能就需要把它们引入到classpath中。 比如考虑上传文件,几个关键点就是可以传什么类型的文件?可以传多大的文件?传过来以后放哪儿?叫什么...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值