https://stackoverflow.com/questions/280684
-
07-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
将文件上传到服务器时,Web 浏览器是否会在 http 标头中发送文件大小?如果是这样的话,是否可以仅通过读取标头来拒绝文件,而不等待整个上传过程完成?
解决方案
http://www.faqs.org/rfcs/rfc1867.html
HTTP客户端 鼓励为整体文件输入提供内容长度,以便a 繁忙的服务器可以检测建议的文件数据是否太大 合理处理
但内容长度不是必需的,所以你不能依赖它。此外,攻击者可能会伪造错误的内容长度。
读取文件内容是唯一可靠的方法。话虽如此,如果内容长度存在且太大,关闭连接将是一件合理的事情。
此外,内容以multipart形式发送,因此大多数现代框架首先对其进行解码。这意味着在框架完成之前你不会得到文件字节流,这可能意味着“直到整个文件被上传”。
其他提示
编辑 :在走得太远之前,您可能需要根据 apache 配置检查另一个答案: 使用 jQuery,上传前限制文件大小 。仅当您确实需要更多自定义反馈时,下面的描述才有用。
是的,您可以在允许上传整个文件之前预先获取一些信息。
这是来自表单的标头示例 enctype="multipart/form-data" 属性 :
POST / HTTP/1.1
Host: 127.0.0.1:8000
User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; en-US; rv:1.9.0.3) Gecko/2008092414 Firefox/3.0.3
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.7,fr-be;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Content-Type: multipart/form-data; boundary=---------------------------886261531333586100294758961
Content-Length: 135361
-----------------------------886261531333586100294758961
Content-Disposition: form-data; name=""; filename="IMG_1132.jpg"
Content-Type: image/jpeg
(data starts here and ends with -----------------------------886261531333586100294758961 )
标头中有 Content-Length,此外文件部分的标头中有 Content-Type(每个文件都有自己的标头,这就是多部分编码的目的)。请注意,浏览器有责任通过猜测文件类型来设置相关的 Content-Type ;你不能保证它,但对于早期拒绝来说它应该相当可靠(但你最好在整个文件完全可用时检查它)。
现在,有一个问题。我曾经这样过滤图像文件,不是根据大小,而是根据内容类型;但当你想尽快停止请求时,就会出现同样的问题: 浏览器只有在整个请求发送后才会收到您的响应,包括表单内容和上传的文件.
如果你不想要提供的内容并停止上传,你别无选择,只能粗暴地关闭套接字。用户只会看到令人困惑的“连接被对等方重置”消息。这很糟糕,但这是设计使然。
因此,您只想在后台异步检查的情况下使用此方法(使用检查文件字段的计时器)。所以我有那个黑客:
- 我使用 jquery 告诉我文件字段是否已更改
- 当选择一个新文件时, 禁用同一表单上的所有其他文件字段 只得到那个。
- 异步发送文件(jQuery 可以为你做到这一点,它使用隐藏框架)
- 服务器端,检查标头(内容长度,内容类型,...),一旦得到你需要的东西就切断连接。
- 设置一个会话变量来告知该文件是否正常。
- 客户端,文件上传到框架 如果连接关闭,您甚至不会得到任何反馈. 。您唯一的选择是计时器。
- 在客户端,计时器轮询服务器以获取上传文件的状态。服务器端,您设置了会话变量,将其发送回浏览器。
- 客户端有状态码;将其呈现为您的表单:错误消息、绿色复选标记/红色 X 等等。重置文件字段或禁用表单,由您决定。不要忘记重新启用其他文件字段。
相当混乱,是吗?如果你们有更好的选择,我洗耳恭听。
-
我不确定,但您不应该真正信任标题中发送的任何内容,因为它可能会被用户伪造。
-
这取决于服务器的工作方式。例如,在PHP中,您的脚本在文件上传完成之前不会运行,因此这是不可能的。
