在文件上传之前检查文件扩展名的变化

Question

我想在将文件上传到我们的网站之前检测用户是否恶意更改了文件的扩展名。

我们使用的是 ASP.NET Core 3.1

系统应该只允许上传某些文件类型。例如，用户在上传前将 .exe 重命名为 .pdf，站点应该能够检测并抛出错误。

IFormFile ContentType 不起作用，因为它没有检测到原始文件扩展名。

还有其他方法吗？以某种方式检测文件的原始 Mimetype？

谢谢

Answer 1

您可以根据幻数检查文件类型。代码如下：

    public IActionResult FileUpload()
    {
        return View();
    }
    [HttpPost]
    public IActionResult FileUpload(FileViewModel fileviewmodel)
    {
        if (ModelState.IsValid)
        {
            using (var memoryStream = new MemoryStream())
            {
                fileviewmodel.File.CopyToAsync(memoryStream);
                BinaryReader reader = new BinaryReader(memoryStream);
                reader.BaseStream.Position = 0x0; // The offset you are reading the data from    
                byte[] data = reader.ReadBytes(0x10); // Read 16 bytes into an array    
                string data_as_hex = BitConverter.ToString(data);
                //reader.Close();

                // substring to select first 11 characters from hexadecimal array    
                string file_signature = data_as_hex.Substring(0, 11); //pdf: 25-50-44-46  Excel: 50-4B-03-04

                // according to the file_signature value to decide whether need to insert the data into database or return error.
                // Upload the file if less than 2 MB
                if (memoryStream.Length < 2097152)
                {
                    var newfile = new AppFile()
                    {
                        Name = fileviewmodel.Name,  
                        Content = memoryStream.ToArray()
                    };
                     
                }
                else
                {
                    ModelState.AddModelError("File", "The file is too large.");
                }
            }
        }
        return View();
    }

查看页面：

@model WebApplication6.Models.FileViewModel 
<div class="row">
    <div class="col-md-4">
        <form enctype="multipart/form-data" asp-action="FileUpload">
            <div asp-validation-summary="ModelOnly" class="text-danger"></div>
            <div class="form-group">
                <label asp-for="Name" class="control-label"></label>
                <input asp-for="Name" class="form-control" />
                <span asp-validation-for="Name" class="text-danger"></span>
            </div>
            <div class="form-group">
                <dl>
                    <dt>
                        <label asp-for="File"></label>
                    </dt>
                    <dd>
                        <input asp-for="File" type="file">
                    </dd>
                </dl>

            </div>
            <div class="form-group">
                <input type="submit" value="Create" class="btn btn-primary" />
            </div>
        </form>
    </div>
</div>

测试结果：

对于 .pdf 文件，file_signature 将为 25-50-44-46，对于 .exe 文件，file_signature 值为 4D-5A-90-00。如果将 .exe 文件扩展名更改为.pdf，则file_signature 为4D-5A-90-00。

然后，您可以根据file_signature的值来决定是否需要将数据插入数据库或返回错误。

参考Find File Type From Magic Number Of File In MVC 5