问在文件上传中信任“内容-类型”

EN

当然，您不应该盲目地信任Content-type头或任何其他标头。这些东西应该用于指导您如何处理请求的决定。因此，Content-type: application/json应该允许您将消息体解释为json对象--然后可能将这种请求传递给JSON反序列化器，将其绑定到对象。

忽略Content-type头是错误的，因为请求主体包含的数据看起来与其他东西类似。如果请求内部不一致，则应该拒绝它。不发送Content-type头是一回事，但是如果头错误，则是另一回事。

因此，您可能希望使用某种自动检测的唯一情况应该是，您没有关于内容的合理信息--要么Content-Type非常通用(例如"/")，要么根本不存在。在这种情况下，决定某种自动检测是可能的还是有价值的是值得的。

不要相信你从用户那里得到的输入。始终在您的服务器端代码中运行检查，无论是文件类型、文件大小等等。使用REST或Javascript使用户体验更流畅、更快。

您肯定应该拒绝所有缺少Content-Type头(以及Content-Length )的请求，或者将其设置得不正确。

这绝对不是过分热心，而是保护系统的安全。如果您对内容有怀疑，只需检查它。但是，在检查内容之前，请记住验证大小。如果您有一个代理服务器(例如nginx)，那么它有适当的模块来拒绝太大的请求。