通常，為了防止因用戶上傳有害文件（如木馬、黑客程序）引發(fā)的安全性問題，Web程序都會對用戶允許上傳的文件類型加以限制。而本文將要介紹的就是如何在ASP.NET應用程序中利用Web Control的內(nèi)置屬性簡單高效地實現(xiàn)限制上傳文件類型的功能。

　　在調(diào)用PostFile對象的SaveAs方法保存上傳文件之前，可以通過PostFile對象的FileName屬性得到上傳的文件名。而有了上傳的文件名，就可以采用比對文件后綴名的方法知道上傳的文件是否屬于允許上傳的文件類型。

　　根據(jù)這個思想，我們就得到了下面這段代碼：

If Path.GetExtension(sFilePath) <> ".zip" Then
??? Label2.Text = "本應用程序只允許上傳zip格式的文件，請重新選擇！"
??? Return

?? 這時如果上傳后綴名不是zip的文件，就會發(fā)現(xiàn)文件無法上傳了。不過，這并表示我們就不能把上傳其他格式的文件了。其實，如果在上傳前，事先把文件后綴名改成zip，上面這段代碼就失去作用了。

之所以會出現(xiàn)這種情況，在于上面的判斷僅僅比對了文件名字符串，并沒有對文件格式做進一步的分析。因此，如果要徹底限制上傳的文件類型，還需要用到PostFile對象的ContentType屬性。ContentType屬性的功能是獲取客戶端發(fā)送的文件的 MIME （注一）內(nèi)容類型，由于瀏覽器在向服務器發(fā)送請求前，首先會確定發(fā)送內(nèi)容的MIME類型，并將MIME類型作為信息的一部分提交到服務器端，因此，有了MIME類型信息（注二），就可以準確知道上傳文件的實際類型了。

If File1.PostedFile.ContentType <> "application/zip" Then
??? Label2.Text = "本應用程序只允許上傳zip格式的文件，請重新選擇！"

這時，如果再采用修改后綴名的方法上傳文件就會發(fā)現(xiàn)再也無法上傳了。

　　注一：MIME是一種技術(shù)規(guī)范，其中文翻譯為多用途Internet郵件擴展（Multipurpose Internet Mail Extensions），主要用來在Internet傳輸過程中表示不同編碼格式的文件；

　　注二：要獲取不同文件格式的MIME定義，只要啟動注冊表編輯器，然后在HKEY_CLASSES_ROOT下找到跟后綴名對應的注冊表項，如果存在文件格式的MIME定義，在右側(cè)窗口就會顯示一個名為“Content Type”的鍵，而這個鍵的值就是文件格式的MIME定義。

　　以上兩種方法混用，上傳文件基本上就被限制了。但是如果某些有心人如果更改注冊表的 MIME 值的內(nèi)容一樣可以上傳惡意程序，如果這樣的話，只有加固程序和系統(tǒng)，不讓其更改上傳后文件的擴展名。或是采用自定義的控件，采用更嚴密的檢測措施

轉(zhuǎn)載于:https://www.cnblogs.com/gaojing/archive/2007/04/01/696235.html

總結(jié)

以上是生活随笔為你收集整理的[ASP.NET] 限制上传文件类型的两种方法(转)的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。