web 文件上传 续 在服务器端判别类型 欢迎拍砖!

最新推荐文章于 2019-12-10 20:40:16 发布
最新推荐文章于 2019-12-10 20:40:16 发布
阅读量770 收藏
点赞数
分类专栏: Web开发 C# Asp.net mvc 文章标签: 服务器 web extension 文档 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ycxjex2006/article/details/6517962
版权
C# 同时被 3 个专栏收录
22 篇文章 0 订阅
订阅专栏
Web开发
4 篇文章 0 订阅
订阅专栏
Asp.net mvc
3 篇文章 0 订阅
订阅专栏

这里特别感谢可爱的宋星小大叔以及武让小帅哥~~~~

        其实是这样的 我之前用uploadify插件上传图片 虽然在前台限定了格式 但是宋星小大叔说可是跳过js代码上传木马之类的 在后台也得再验证一遍 并告诉我可以通过文件首部二进制来查看类型

        于是俺跑去问武让小帅哥 看过他的几篇学习笔记 觉得他对这方面挺在行的

        果然小帅哥很快就得出了结论 并找到了相应的文档

俺根据小帅哥的文档 几乎不用变动代码(其实就是米有变动..),通过了测试

这里他用了一个枚举类型存放类型和相应的ascii 俺要做的就是取流文件(图片上传后以流文件的形式在服务器端被接收)的前两字节 拿出来匹对下

俺的测试代码:

Code:
  1. [HttpPost]   
  2.        public ActionResult Register(HttpPostedFileBase fileData, string folder,FormCollection formCollection)   
  3.        {   
  4.            Stream fs = fileData.InputStream;   
  5.            //data存放前两字节的东西   
  6.            string data = fs.ReadByte().ToString();   
  7.            data += fs.ReadByte().ToString();   
  8.            FileExtension extension;   
  9.            try//转换成功,类型符合  
  10.            {   
  11.                extension = (FileExtension)Enum.Parse(typeof(FileExtension), data);   
  12.            }   
  13.            catch //转换失败,类型不符合  
  14.            {   
  15.                extension = FileExtension.VALIDFILE;   
  16.            }   
  17.            return View();   
  18.        }   
  19.   
  20.        public enum FileExtension   
  21.        {    
  22.            JPG=255216,   
  23.            GIF=7173,   
  24.            PNG=13780,   
  25.            BMP=6677,   
  26.            VALIDFILE = 9999999   
  27.        }  

帅哥的文档中还提及了txt格式

这里有一个很简单的方法:把给定的那个文件看作是无类型的二进制文件,然后顺序地读出这个文件的每一个字节,如果文件里有一个字节的值等于0,那么这个文件就不是文本文件;反之,如果这个文件中没有一个字节的值是0的话,就可以判定这个文件是文本文件了。

再次感谢两位帅哥~

ycxjex2006
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
file命令 识别文件类型
01-09
file命令用来识别文件类型,也可用来辨别一些文件的编码格式。它是通过查看文件的头部信息来获取文件类型,而不是像Windows通过扩展名来确定文件类型的。 语法格式:file [参数] [文件] 常用参数: -b 列出辨识...
Android 应用和系统优化V1.2
懒人日志
09-15 8044
一年多年写了一篇简单的软件优化教程,给公司的同事使用。现在应该还不算过时,在过去一年里,在国家脱虚向实运动倡导下,一个个高科技企业如雨后春笋般诞生,对软件的优化和重构的需求也越来越多。早期的 android 开发者曾经十分羡慕C文开发者,C的调试工具是如此之多和丰富,内存,堆栈,CPU,GPU,断点,现在android的系统分析和优化工具也相当多,借助系统自带的开发者工具,android系统也变得
cookies,sessionStorage和localStorage的区别?
IT修真院:初学者转行到互联网的聚集地
12-10 264
这里是修真院前端小课堂,每篇分享文从 【背景介绍】【知识剖析】【常见问题】【解决方案】【编码实战】【扩展思考】【更多讨论】【参考文献】 八个方面深度解析前端知识/技能。 本篇分享的是:【cookies,sessionStorage和localStorage的区别?】 大家好,我是IT修真院上海分院王刚,一枚正直纯洁善良的web程序员。 今天给大家分享一下,修真院官网web任务6,深度...
域名,cookie是什么?有什么用处?cookie session的区别?cookie的失效期?
weixin_34150830的博客
04-30 144
域名,cookie是什么?有什么用处?cookie session的区别?cookie的失效期? 目录 1.背景介绍 2.知识剖析 3.常见问题 4.解决方案 5.编码实战 6.扩展思考 7.参考文献 8.更多讨论 1.背景介绍 域名是什么? 要解释域名是什么,我们应当知道一些互联网的基本概念 我们实现互联网的方式中有一个网络层的概念,这个网络层在实体层和链接层上。网络层引入了一套地址,用来区分不...
JWT简单介绍
qq_40826752的博客
04-22 338
大家好,我是IT修真院上海分院第6期学员,一枚正直善良的JAVA程序员。今天给大家分享一下,修真院官网JAVA任务5中,JWT简单介绍。一、背景介绍JWT(Json Web Token)定义了一种使用Json形式在网络间安全地传递信息的简洁开放的标准(RFC 7519)。二、知识剖析为什么要使用JWT?传统的session认证方案:第一次用户认证请求通过时,服务器端存储用户的登录信息,然后在响应时...
关于对《Spring Security3》翻译 (第一章 - 第三章)
GeneralYY0的专栏
12-04 3811
原文:http://lengyun3566.iteye.com/category/153689?page=2 翻译说明 最近阅读了《Spring Security3》一书,颇有收获(封面见图片)。因此将其部分内容翻译成中文,对于电子版内容,本人放弃一切权利。 在翻译之前,本人曾发邮件征询原作者的意见,如今已是半月有余,未见其回复。因为非盈利为目的,所以斗胆将内容发布于
什么是session?什么是cookie?session和cookie有什么区别?
lihoo747的博客
09-20 415
大家好,我是IT修真院北京分院第27期的JAVA学员,一枚正直纯洁善良的java程序员。 今天给大家分享一下,修真院官网Java任务4,深度思考中的知识点—为什么要使用Tiles框架? 1.背景介绍 什么是cookie? Cookie,中文名称为“小型文本文件”,指某些网站为了辨别用户身份而储存在用户本地终端(Client Side)上的数据(通常经过加密)。 由网景公司的前雇员卢·蒙特...
应用于拟态Web服务器的相似度求解方法
05-06
拟态Web服务器中表决器通过计算并比较异构执行体响应网页...将本文算法应用于拟态Web服务器上,进行网页篡改实验验证,与现使用算法相比,本文所采用算法在适应执行体异构性的基础上,提高了表决器的计算效率和准确性.
支持断点传的下载文件的php类.zip
07-11
 }初始化-打开指定网址--重设各参数-初始化系统-获得某操作错误的原因-判别用Get方法发送的头的应答结果是否正确-看看返回的网页是否是text类型-判断返回的网页是否是特定的类型- HTTP 协议下载文件
论文研究-多层Web服务器的准入控制研究.pdf
07-22
一般基于多层Web服务器的准入控制不能考虑到各层之间的相关性,且准入策略具有延迟性,极大地限制了系统吞吐量。针对这个问题,提出一种基于控制理论的2级模糊控制器:第1级控制器根据各层服务器的资源使用率和延迟...
怎样检测晶闸管!不同类型晶闸管的检测方法
01-20
判别单向晶闸管的阳极、阴极和控制极?  脱开电路板的单向晶闸管,阳极、阴极和控制极3个引脚一般没有特殊的标注,识别各个脚主要是通过检测各个引脚之间的正、负电阻值来进行的。晶闸管各个引脚之间的阻值都较大,...
asp.net mvc + dwz 分页查询的详细使用方法
ycxjex2006的专栏
04-07 8161
-,  -献给开头: 找工作 关键字:应届 MM .net 可转php及python 擅长c# 擅长.net的web开发 调试,解决问题能力较强,能熟练使用.net开发工具  c#有着较为扎实的基础功底,了解新技术  擅长asp.net mvc(3),ado.net,ado.net entity(ORM),linq,winform等  擅长sql server  熟悉Web开发基础 H
c# 提取中文字符
ycxjex2006的专栏
10-28 3687
今天咱朋友问咱怎么从一个字符串中取出中文字符 由于那朋友是工作了好几年的 让我反而怀疑起了这里面有什么高深的说法不(求大神指导) 在这咱还因为这个绕了个大圈子 闹了个大笑话 前几天在C#本质论上看到上面写着16bit不足以表示所有的unicode 咱自然而然地想到了中文(是个很可怕的短路...) 于是咱给想歪了 想复杂了 后来被咱朋友菜菜拎出来说了句 中文不是两个字节么 咱才突然惊醒 otz
属性作为虚字段使用
ycxjex2006的专栏
12-13 2805
把C#入门经典第四版的基础部分重打了遍后  我又拿起了上次刚看到类这章的c#本质论     属性和方法调用不允许作为ref或out参数值使用       C#允许属性像字段那样使用,只是不允许将它们作为ref或our参数值来传递. ref和out参数值在内部实现时,需要将内存地址传给目标方法. 但是, 由于属性可能是没有支持字段的虚字段, 也有可能是只读/只写的,因此不可能传递其基础存储
类中静态的方法、成员函数只能访问静态的数据成员或者静态的方法
ycxjex2006的专栏
11-19 2630
今天在打代码时发现书上有几个字段用了static 我当时就好奇 感觉这几个字段没有必要设成静态的 于是我就把static给去掉了 vs马上给我报错 原因就是我在后面有个static的方法调用了它们   上网一查 原来是这么回事: 原话一: 静态成员函数不接受隐含的this自变量。所以,它就无法访问自己类的非静态成员 原话二: 静态成员函数不需要实例就可以被访问,  也就是说只要有了
c# 反射 去掉类中字符串属性多余空格
ycxjex2006的专栏
03-25 2512
今天喵喵遇到一个问题 我设计的数据库的一些字符串字段是固长字符串 从里面取出实体的值后面有多余的空格 于是我就想把这些多余的空格去掉 写了一个去除实体中字符串属性多余空格的方法 用到了反射 这样就能把多余的空格去除了   Code: ///          /// 去除类中字符串属性中的多余空格         ///          /
web 文件上传---uploadify 欢迎拍砖!
ycxjex2006的专栏
01-26 1975
昨天猫意外地发现数据库中存在放图片路径的字段 想想将计就计吧 正好没折腾过文件上传 跑去问了可爱的搞web的朋友 答曰自己用js写 瞬间呆住 立即反映过来 自己被.net惯坏了 于是跑去看了标签 发现在格式控制上很不方便 用自己写js  当选择的格式不是自己规定的 再弹alter提醒 不喜(这里欢迎拍砖!) 通过js限定格式资料:http://huagenli.javaeye.com/blo
重写与隐藏的区别
ycxjex2006的专栏
11-10 1854
以前一直搞不清重写与隐藏 认为两者没多大区别 今天仔细查了下资料 发现两者的确存在不同的地方的 在多态中 就体现了出来 借用网上的例子  Code: public class BaseClass      {          public   virtual void  GetStringVirtual()          {              Console
WEB安全文件上传防御机制
最新发布
08-08
### 回答1: 文件上传漏洞是Web应用程序中常见的安全漏洞之一,攻击者可以通过上传恶意文件来执行代码、获取敏感信息、攻击其他用户等。为了防止文件上传漏洞,可以采用以下防御机制: 1. 文件类型检查:在上传文件之前,应该对文件类型进行严格的检查,只允许上传指定的文件类型,例如图片、文本、PDF等。可以使用文件扩展名、MIME类型等方式来检查文件类型。 2. 文件大小限制:限制上传文件的大小,避免上传过大的文件导致服务器资源耗尽或拒绝服务攻击。 3. 文件名过滤:过滤掉恶意文件名,例如包含特殊字符、脚本代码等的文件名。 4. 文件内容检查:对上传的文件内容进行检查,避免上传包含恶意代码的文件。 5. 文件路径限制:限制上传文件的存储路径,避免上传恶意文件到系统目录或其他敏感目录。 6. 权限控制:对上传文件进行权限控制,例如只允许特定用户上传文件,或限制上传文件的访问权限。 7. 文件重命名:在上传文件时,将文件重命名为随机字符串,避免上传文件名相同的文件覆盖原有文件。 综上所述,通过以上防御机制可以有效地防止文件上传漏洞的发生,提高Web应用程序的安全性。 ### 回答2: WEB安全文件上传防御机制是指在网络应用中,为防止恶意用户上传危险文件并对系统造成安全威胁,采取的一系列防御措施。 首先,一种常见的防御机制是对文件类型进行限制。通过白名单或黑名单的方式,设置允许或禁止上传的文件类型,可以阻止用户上传可能存在风险的文件,如执行文件、脚本文件等。这种限制可以在前端或后台进行,前端可通过验证文件名后缀来判断,后台可通过文件头信息或内容进行判断。 其次,还可以对文件进行内容检测。这种机制可以通过对上传文件进行解析,检查其中的内容是否符合安全要求。例如,可以检查上传的图片是否包含恶意代码、上传的文档是否存在潜在的漏洞等。这需要在服务器端进行深入解析和检测,以确保上传文件的安全性。 此外,还可以对上传的文件进行重命名和存储路径随机化。通过对文件名进行加密或随机命名,可以避免恶意用户利用已知的文件名进行攻击,同时还可以将上传的文件存储到不可访问的路径中,提高上传文件的安全性。 最后,日志记录和监控也是重要的防御机制。通过记录每次文件上传的相关信息,包括上传者、上传时间、上传文件的属性等,可以方便后对上传行为进行监控和追溯,及时发现并处理潜在的安全威胁。 综上所述,WEB安全文件上传防御机制涵盖了文件类型限制、内容检测、重命名与路径随机化、日志记录与监控等多种措施,通过这些手段可以提高网络应用的安全性,预防恶意文件上传对系统造成的安全威胁。 ### 回答3: WEB安全文件上传防御机制是为了防止恶意用户上传含有安全漏洞的文件或恶意文件,对WEB应用进行保护的一种机制。 首先,常用的WEB安全文件上传防御机制是通过对文件类型和扩展名进行检查。通过验证文件的MIME类型和扩展名,可以辨别出危险的文件类型,例如可执行文件或脚本文件。如果检测到这些危险的文件类型,就应该及时拒绝上传,并给出合理的提示。 其次,WEB安全文件上传防御机制还可以通过对文件内容进行检查来确保文件的真实性和完整性。可以使用文件的特征码或哈希值进行校验,以确保文件内容没有被篡改。同时,还可以检测文件中是否含有恶意代码、文件头是否正确等,以确保上传的文件安全可靠。 此外,应该对上传文件的大小进行限制,防止恶意用户上传过大的文件导致服务器压力过大或占用过多的存储空间。可以设置合理的文件大小阈值,超过阈值的文件应及时拒绝上传,并给出相应的警示和提示。 最后,对于敏感文件的上传,应该进行额外的权限设置和访问控制。例如,将敏感文件存放在非web可访问的目录下,通过程序进行读取操作,从而避免用户直接访问敏感文件。 综上所述,WEB安全文件上传防御机制是通过对文件类型、扩展名、内容的检查和限制,确保上传文件的安全性和完整性,同时阻止恶意用户利用文件上传功能进行攻击。这些机制可以有效地保护WEB应用的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值