通常,在WEB系统中,上传文件时都需要做文件的类型校验,大致有如下几种方法: 1. 通过后缀名,如exe,jpg,bmp,rar,zip等等. 2. 通过读取文件,获取文件的Content-type来判断. 3. 通过读取文件流,根据文件流中特定的一些字节标识来区分不同类型的文件. 4. 若是图片,则通过缩放来判断,可以缩放的为图片,不可以的则不是. 然而,在安全性较高的业务场景中,1,2两种方法的校验会被轻易绕过. 1. 伪造后缀名,如图片的,非常容易修改. 2. 伪造文件的Content-t