关于文件上传返回数据的后缀名变成文件名的问题

最新推荐文章于 2024-11-07 09:50:43 发布
最新推荐文章于 2024-11-07 09:50:43 发布
阅读量1k 收藏
点赞数
分类专栏: 小问题们 文章标签: 前端 vue elementui
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47556649/article/details/128466563
版权

1、首先排查,当前文件是否又传入文件名,

遇到过虽然传入了文件名,但是发现发送请求的文件名字变成了blob

解决方法

 参考文章

null最近为了响应系统对安全方面的要求,我们做的整改之一是对文件上传部分,除了在前端页面上限制用户可以选择的文件类型,还在后端接口中新增了对文件后缀名(这里主要是图片)的限制,核心代码如下。针对获取后缀名的代码单独做了测试后,确认了不是这段代码的的问题。那么问题应该是出现在前端了,也就是说,前端传过来的文件名称有问题,而且在观察前端请求时证明了这一猜想。插件进行图片切割头像,将切割后的头像转为blob文件上传。可是通过前端上传文件后,后端持续报错:无效的文件格式,见鬼。方法第三个参数设置为文件的名称即可。https://blog.csdn.net/u013810234/article/details/127142097?ops_request_misc=&request_id=&biz_id=102&utm_term=%E5%89%8D%E7%AB%AF%E4%B8%8A%E4%BC%A0%E6%96%87%E4%BB%B6%E4%B8%BA%E4%BB%80%E4%B9%88%E5%90%8E%E7%BC%80%E5%90%8D%E5%8F%98%E6%88%90%E4%BA%86%E6%96%87%E4%BB%B6%E5%90%8D&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduweb~default-5-127142097.142^v68^js_top,201^v4^add_ask,213^v2^t3_control1&spm=1018.2226.3001.4187

2、文件名也有了,上传文件的格式也是对的,但是返回来的地址的后缀名变成了文件名

如图:

 

原因:再进行第一步的文件命名时,没有加入文件格式就直接命名了

解决办法:加上文件格式就可以了

文件上传,服务器文件名中文乱码
qq_42969140的博客
06-03 6456
日前刚刚解决的乱码问题,在windows本地调用文件上传接口,中文名显示没问题,但是一旦文件上传到Linux服务器之后,就会出现中文乱码问题,看了很久找到问题,以此记录一下。 配置
unity 修改文件后缀_unity游戏生成与修改so文件教程
weixin_39834780的博客
12-19 2068
本帖最后由 迷之裙摆 于 2018-1-27 21:14 编辑本文主要介绍如何对unity3d引擎制作的游戏进行修改。包含了apk文件安装后在手机中的位置分析、修改游戏遇见内联函数之坑的解决办法,以及so文件的原理介绍与解析修改。并将实例教学如何修改unity3d游戏(想学崩坏3修改的同学请注意啦)。教程是给入门新手看的,请大神绕道勿喷。文章的核心内容在最后利用Il2CppDumper的部分,...
前端】实现文件夹上传,并将后端返回的文件数据,根据路径还原成文件夹格式展示。
codingClerk的博客
09-01 2399
前端实现文件夹上上传,并根据后端返回的文件数据,根据文件路径还原文件树形结构渲染
切片上传文件,后端拿到的文件名blob问题
九日的博客
01-27 4473
切片上传文件,后端拿到的文件命为blob问题 表现: 如标题所言,我在将文件切片上传,后端无法拿到正确的文件命。 分析: 我们并没有手写文件命,所以这件事情只能是系统搞的鬼,打开浏览器控制台NetWork能够看到万恶之源: 说明的确是系统给我们的文件流自动命名为了blob,所以才导致了后端拿不到正确文件命。 解决: formData的append可以接受三个参数,通过第三个参数我们可以手动设置filename参数: formData.append("file", file, this.containe
前端上传文件给后端文件名乱码
CY2333333的博客
02-18 2920
前端上传的文件用后端Servlet接收,会出现乱码问题。 上网搜集解决方案,找到的第一种解决方案是: //对文件名做如下转码,即可得到文件名: FileName=new String(FileName.getBytes("ISO-8859-1"), "UTF-8"); 但结果是中文乱码变成了 “?”,问题并没有得到解决。 随后,修改解决方案 FileName=new String(FileName.getBytes(), "UTF-8"); 依然是部分情况下最后一个中文字符由乱码变成了"?"
解决不同浏览器上传文件filename不一样问题
weixin_44928413的博客
05-24 404
解决不同浏览器上传文件filename不一样问题(学习自用) 今天在做实验的候发现在不同的浏览器上上传文件的filename不一致 在ie 的结果 在chrom中却能成功 解决方案:
文件上传解析漏洞
weixin_45634365的博客
03-13 1234
一、前端验证绕过 检测恶意代码依靠后端检测,前端检测(JS)相当于没有检测 (1)修改浏览器设置,直接禁用JS (2)使用Burp抓返回包,删除JS检测代码 (3)前端代码只能在浏览器执行,先将恶意代码更改为可执行后缀,使用Burp抓包,更改上传文件后缀名 二、Content-Type方式绕过 白名单:只允许白名单上的内容。例如只允许上传jpeg、png、gif后缀的文件,后端会检测文件的类型 在文件上传解析漏洞中,后缀名很重要,后端可能会更改前缀名,但后缀名一般不会更改。 先上传一个JPG文件,使用Bur
PHP文件上传操作实例详解
10-21
为了防止恶意文件上传,通常需要对文件的后缀名和MIME类型进行检查。PHP的fileinfo扩展可以用来检测文件的MIME类型。在上传文件前,可以与白名单中的MIME类型进行比对。 ### 文件存储策略 上传的文件通常存储在...
为什么前端打包出来的静态文件名字是一串 Hash 值 ?
2301_78659329的博客
11-07 1024
前端打包使用 Hash 值作为静态文件名,主要是为了缓存优化、版本管理和避免缓存污染。当文件内容发生,打包工具会生成不同的 Hash 值,确保文件名唯一,从而强制浏览器加载最新版本的资源,避免加载旧缓存文件引发的问题。同,如果文件内容没有化,文件名保持不,浏览器可以继续使用缓存中的资源,从而减少网络请求,提升加载性能和用户体验。通过这种方式,前端应用可以高效地管理静态资源,保证用户始终访问到最新内容。
上传绕过php文件改为图片,文件上传漏洞另类绕过技巧及挖掘案例全汇总
weixin_28744601的博客
03-12 1571
文件上传漏洞作为获取服务器权限最快的方式,虽然相关资料很多,但很多人对上传校验方式、如何针对性绕过检测、哪种上传和解析的场景会产生危害等还是比较模糊。本文作一些阐述,然后补充一些除了上传webshell的其他非常规挖掘姿势,包括XSS、重定向、Dos、CSRF等等。1、基础知识:要深入了解文件上传,必须了解上传属性、常见文件的结构、图形处理函数等内容。1)报文特点:观察文件上传报文的特点:Hea...
文件上传后改名
shangsiqi1的博客
11-03 1641
正常文件上传之后,在上传的文件夹中的文件名,并不是我们想要的标准的文件名,于是就存在在文件上传之后要为文件改名,一般文件的上传要用到formidable这个第三方模块 var formidable = require('formidable') router.post('/changeheadpic', function(req, res, next) { var form = new...
将文件和信息统一上传遇到的问题解决(上传文件后端接收的一直是String类型)
weixin_42947972的博客
01-15 542
将文件和信息统一上传遇到的问题解决(上传文件后端接收的一直是String类型)
office拷到linux中名字了,中文名文件上传到linux服务器上以后文件名会乱码(openoffice)...
weixin_39664962的博客
05-16 266
1、中文名文件上传后保存在linux服务器上文件名会乱码,但是我们通过SSH直接对服务器上的一个文件进行重命名是可以使用中文的,而且显示出来是正确的,这说明服务器是可以支持中文的。2、而为什么上传的中文名文件保存起来以后文件名会乱码呢?这是因为Windows的默认编码为GBK,Linux的默认编码为UTF-8。在Windows下编辑的中文,上传到Linux下就会显示为乱码。为了解决此问题,修改Li...
记一次更改 Dcat-Admin 上传组件直传七牛云
slowlyo的博客
09-12 1168
记一次更改 Dcat-Admin 上传组件直传七牛云 Dcat 文件上传文档 // 随机文件名 $filename = md5(uniqid()) . '.mp4'; $disk = Storage::disk('qiniu'); // 回调信息, Dcat 上传文件需要的报文格式 $callBack = [ 'status' => true, 'data' => [ 'id' => $filename, 'name' =&
上传带有‘+’符号文件名的文件,在下载提示系统找不到指定文件
初心不改
12-14 1922
如下图 最上面显示的是已经上传并且查找成功 “+ -.txt”文件,但是点击下载,后台报如上错误,貌似直接丢掉了+号。查了有关windows文件命名规则: ①在文件或文件夹名中,可用1~256个字符西文字符或128个汉字(包括空格)组成,不能多于256个字符。 ②文件名或文件夹名中不可以出现以下字符:\/:※?”<>| ③文件名和文件夹名中可以使用汉字和空格,但是空格不可以作为文件名的开头字符或单独作为文件名。 ④可以使用多分隔符的名字,但只有最后一个分隔符后面的
解决前后端传送文件名,出现乱码问题,URLEncoder
汪程序员
02-20 5050
出现???.doc,无法完成下载,后端的文件名在传输过程中,编码出现了问题
koa中上传文件对于不支持的文件格式返回错误信息
没得简介
05-02 714
我这里使用的是koa-body来接受文件: const koa = require('koa') //user路由 // const userRouter = require('../router/user.route') //商品路由 // const goodsRouter = require('../router/goods.route') const router = require('../router') const koaBody = require('koa-body') const ko
JAVA后台上传文件至服务器,pdf的文件名(中文/英文/数字),中文显示乱码。解决方案
xiaoxiaoyang007的博客
06-13 930
项目中需要后台服务上传文件到文件服务器,上传完之后,下载下来文件名中文部分显示乱码,英文和数字正常。经查资料得知,是编码问题。所以对文件名进行特殊处理。
前端实现文件下载功能(后端返回的流)
weixin_45354225的博客
07-07 3377
前端实现文件下载功能第一步我们写一个获取 blob 得方法第二步第三步 实现下载文件完整js代码接下来我们就实际页面中去调用下载功能参考文档 前端实现下载功能,记录使用接口返回文件流得形式进行下载 1,可以通过后端返回的链接a标签直接下载 2,有候是后端接口返回得文件流进行下载 3,前端生成表格文件下载 第一步我们写一个获取 blob 得方法 /** * 获取 blob * @param {String} url 目标文件地址 * @return {Promise} */ function
文件上传中basename()绕过
最新发布
04-25
### 文件上传过程中绕过 `basename()` 函数的安全限制 `basename()` 是 PHP 中的一个常用函数,用于返回路径中的文件名部分。然而,在一些不完善的实现中,攻击者可以通过构造特殊的文件名来绕过基于 `basename()` 的安全检查。 #### 基于 `basename()` 的常见问题 在许多情况下,开发者会简单地使用 `basename()` 来提取上传文件的名称并将其保存到目标目录中。例如: ```php $target_path = "uploads/"; $file_name = basename($_FILES["upload"]["name"]); $target_file = $target_path . $file_name; if (move_uploaded_file($_FILES["upload"]["tmp_name"], $target_file)) { echo "File uploaded successfully."; } else { echo "Error uploading file."; } ``` 这段代码虽然看似正常,但实际上存在安全隐患。如果攻击者提交一个带有特殊字符的文件名(如包含路径遍历),可能会导致意外行为[^3]。 --- #### 绕过方法分析 ##### 1. **利用路径遍历** 尽管 `basename()` 可以移除路径信息,但如果攻击者提供的是一个多层嵌套的路径结构,仍然可能导致意料之外的结果。例如: - 提交文件名为 `../../evil.php`。 - 虽然经过 `basename()` 后为 `evil.php`,但在某些配置错误的情况下,仍可能覆盖敏感文件或创建恶意文件[^5]。 ##### 2. **结合压缩包解压机制** 当上传的是压缩文件,即使调用了 `basename()` 处理外部文件名,内部文件的实际路径也可能未受到严格控制。例如: - 攻击者可以制作一个 ZIP 或 RAR 文件,其中包含具有路径遍历特性的文件名(如 `../webshell.php`)。 - 当服务端解压该文件,这些文件会被放置到指定的目标目录以外的位置[^5]。 ##### 3. **利用编码混淆** 有些应用程序会对输入数据进行简单的清理操作,但这并不足以防止高级攻击技术。例如: - 使用 URL 编码 (`%2F`) 替代斜杠 `/`; - 利用 Unicode 字符集中的相似符号(如全角字符 `\uFF0E` 表示点号 `.`, `\uFF0F` 表示斜杠 `/`)构建复杂文件名[^4]。 ##### 4. **滥用 MIME 类型检测不足** 即使启用了基本的扩展名过滤逻辑,也容易被绕过。例如: - 如果仅依赖后缀匹配而不验证实际内容类型,则可伪造 JPEG 图片携带隐藏 WebShell[^2]。 --- #### 实际案例演示 假设有一个易受攻击的应用程序如下所示: ```php <?php if (isset($_FILES['upload'])) { $target_dir = "uploads/"; $target_file = $target_dir . basename($_FILES['upload']['name']); if (!in_array(pathinfo($target_file, PATHINFO_EXTENSION), ['jpg', 'png'])) { die('Invalid file extension.'); } move_uploaded_file($_FILES['upload']['tmp_name'], $target_file); echo "Uploaded!"; } ?> <form action="" method="post" enctype="multipart/form-data"> Select image to upload: <input type="file" name="upload"><br> <input type="submit" value="Upload Image"> </form> ``` 在这种场景下,攻击者可通过以下手段实施攻击: 1. 构造带有多级目录穿越的文件名,如 `test.jpg/../../../evil.php`; 2. 创建伪装成合法图像格式但含有恶意脚本的内容; 3. 将上述两种方式结合起来形成更复杂的载荷. --- ### 安全建议 为了有效防御此类威胁,应采取综合措施: - 对用户提交的数据进行全面校验,不仅限于文件名本身还要考虑其真实性质. - 设置专门用于存放用户资料且不具备执行权限的隔离区域. - 应用随机化命名方案减少预测可能性同记录原始元数据以便后续审计追踪.[^2] ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值