PHP Lang
  1. PHP Lang
  3. Проверка типа MIME бесполезна для загрузки файла? (в частности, используя API файлов Javascript)?
Intereting Posts
Php: singleton VS полный статический класс? Когда используете что? yii cgridview ajaxlink работает только на первой странице Получение типа mime из имени файла в php ffmpeg аудио + преобразование изображения в видео не работает Получить смещенные соседи из массива объектов Заявление о состоянии – Php Mysqli Тайм-аут сеанса PHP / Javascript с предупреждением Facebook SDK для ошибки PHP – CurlException: 35: ошибка: 14094410: SSL-процедуры: SSL3_READ_BYTES: sslv3 отказ от рукопожатия Передайте возвращаемое значение из php в js HTTPS и SSL3_GET_SERVER_CERTIFICATE: проверка сертификата не выполнена, CA в порядке Laravel: я не могу отправить более двух переменных из контроллера в режим просмотра Импорт пространства имен и файлов в PHP Symfony 2.0 получает сервис внутри объекта почему xpath удаляет html специальные символы? Проблемы с OpenSSL на PHP – различное поведение для разных версий

Проверка типа MIME бесполезна для загрузки файла? (в частности, используя API файлов Javascript)?

У меня есть сценарий сервера, получающий загруженный файл из Javascript.

Клиентская сторона, используя объект File (из файла API W3C ) и код, похожий на эту строку: 

 if (file.type.indexOf("text") == 0) { ... }

можно выполнить проверку типа файла. По-видимому, это использует тип MIME (который возвращает эти строки ).

В моих путешествиях здесь, через SO, я решился на этого достойного вкладчика , который утверждает, что типы MIME бесполезны.

Являются ли типы MIME действительно бесполезными в ситуации с загрузкой файлов, и поэтому проверка типов должна происходить на стороне сервера?

Вкладчик является правильным. Вы не можете полагаться только на проверку типа MIME, чтобы действительно проверить файл. Это полезно только для быстрого поиска. Например, на стороне клиента вы можете проверить тип файла MIME перед его отправкой на сервер, на случай, если пользователь выбрал неправильный тип файла, экономя время и пропускную способность. Извинения за либеральное использование запятых!

Этот вкладчик утверждает, что все проверки типа MIME бесполезны, клиент или сервер.

И в какой-то степени он прав. Проверка типа MIME всегда основана на обнюхивании определенных характеристик файла. Его пример: файл PDF должен начинаться с чего-то вроде %PDF-1.4 . Но файл, начинающийся с %PDF-1.4 , не обязательно является файлом PDF. (Упрощенное объяснение.)

Пользователь может поместить все правильные намеки во все нужные места, чтобы детектор MIME обнаружил файл как определенный тип, потому что он рассматривает эти конкретные подсказки. Но тогда остальная часть файла может быть чем-то совершенно другим. Если вы заходите так далеко, что же тогда делает файл определенного типа? Это всего лишь двоичный gobbledygook. В конечном итоге единственным способом убедиться, что файл является допустимым файлом типа X, является попытка открыть и проанализировать его с помощью синтаксического анализатора, который ожидает файлы типа X. Если он правильно анализирует, это файл полезен как тип X. Если он ходит как утка, трясины, как утка …

Имея это в виду, попытка проанализировать файл лучше, чем обнюхивание серверной части типа MIME лучше, чем обнюхивание клиентской стороны типа MIME лучше, чем использование слова пользователя для какого типа файла. Обратите внимание, что обнюхивание типа MIME на стороне клиента столь же ненадежно, как и слово пользователя для чего угодно, поскольку все это происходит на стороне клиента.