我读了这个和这个问题,似乎表明文件MIME类型可以在客户端使用JavaScript检查。现在,我知道真正的验证仍然必须在服务器端完成。我想执行客户端检查,以避免不必要的服务器资源浪费。

为了测试这是否可以在客户端完成,我将一个JPEG测试文件的扩展名更改为.png,并选择该文件进行上传。在发送文件之前,我使用JavaScript控制台查询文件对象:

document.getElementsByTagName('input')[0].files[0];

这是我在Chrome 28.0上得到的:

文件{webkitRelativePath: "", lastModifiedDate: Tue Oct 16 2012 10:00:00 GMT+0000 (UTC),名称:“test.png”,类型:“image/png”,大小: 500055年…}

它显示的类型为image/png,这似乎表明检查是基于文件扩展名而不是MIME类型。我尝试了火狐22.0,它给了我同样的结果。但是根据W3C规范,应该实现MIME嗅探。

我是正确的说,没有办法检查MIME类型与JavaScript的时刻?还是我遗漏了什么?


当前回答

简短的回答是否定的。

正如您所注意到的,浏览器从文件扩展名派生类型。Mac预览似乎也运行了扩展。我假设这是因为它更快地读取包含在指针中的文件名,而不是查找和读取磁盘上的文件。

我复制了一个重命名为png的jpg文件。

我能够始终如一地从chrome中的两个图像中获得以下内容(应该在现代浏览器中工作)。

ÿØÿàJFIFÿþ;CREATOR: gd-jpeg v1.0(使用IJG JPEG v62),质量= 90

你可以通过String.indexOf('jpeg')检查图像类型。

这里有一个琴来探索http://jsfiddle.net/bamboo/jkZ2v/1/

例子中我忘记注释的含糊行

console.log( /^(.*)$/m.exec(window.atob( image.src.split(',')[1] )) );

拆分base64编码的img数据,保留在映像上 Base64解码映像 只匹配图像数据的第一行

提琴代码使用base64解码,这不会在IE9工作,我确实找到了一个很好的例子,使用VB脚本,在IE http://blog.nihilogic.dk/2008/08/imageinfo-reading-image-metadata-with.html工作

加载图像的代码来自Joel Vardy,他正在做一些很酷的图像画布调整客户端,然后上传,这可能是感兴趣的https://joelvardy.com/writing/javascript-image-upload

其他回答

如果你只是想检查上传的文件是否是一张图像,你可以尝试将它加载到<img>标签中,检查是否有任何错误回调。

例子:

var input = document.getElementsByTagName('input')[0];
var reader = new FileReader();

reader.onload = function (e) {
    imageExists(e.target.result, function(exists){
        if (exists) {

            // Do something with the image file.. 

        } else {

            // different file format

        }
    });
};

reader.readAsDataURL(input.files[0]);


function imageExists(url, callback) {
    var img = new Image();
    img.onload = function() { callback(true); };
    img.onerror = function() { callback(false); };
    img.src = url;
}

对于Png文件,你可以做更多的检查,而不仅仅是检查一些神奇的头字节,因为Png文件有一个特定的文件格式,你可以检查。

TLDR:有一系列必须以特定顺序排列的块,并且每个块都有一个crc错误纠正码,您可以检查它是否有效。

https://en.wikipedia.org/wiki/Portable_Network_Graphics#File_format

我做了一个小库,检查块布局是正确的,它检查每个块的crc代码是有效的。准备作为npm包在这里消费:

https://www.npmjs.com/package/png-validator

下面是一个支持webp的Typescript实现。 这是基于vic .us的JavaScript回答。

interface Mime {
  mime: string;
  pattern: (number | undefined)[];
}

// tslint:disable number-literal-format
// tslint:disable no-magic-numbers
const imageMimes: Mime[] = [
  {
    mime: 'image/png',
    pattern: [0x89, 0x50, 0x4e, 0x47]
  },
  {
    mime: 'image/jpeg',
    pattern: [0xff, 0xd8, 0xff]
  },
  {
    mime: 'image/gif',
    pattern: [0x47, 0x49, 0x46, 0x38]
  },
  {
    mime: 'image/webp',
    pattern: [0x52, 0x49, 0x46, 0x46, undefined, undefined, undefined, undefined, 0x57, 0x45, 0x42, 0x50, 0x56, 0x50],
  }
  // You can expand this list @see https://mimesniff.spec.whatwg.org/#matching-an-image-type-pattern
];
// tslint:enable no-magic-numbers
// tslint:enable number-literal-format

function isMime(bytes: Uint8Array, mime: Mime): boolean {
  return mime.pattern.every((p, i) => !p || bytes[i] === p);
}

function validateImageMimeType(file: File, callback: (b: boolean) => void) {
  const numBytesNeeded = Math.max(...imageMimes.map(m => m.pattern.length));
  const blob = file.slice(0, numBytesNeeded); // Read the needed bytes of the file

  const fileReader = new FileReader();

  fileReader.onloadend = e => {
    if (!e || !fileReader.result) return;

    const bytes = new Uint8Array(fileReader.result as ArrayBuffer);

    const valid = imageMimes.some(mime => isMime(bytes, mime));

    callback(valid);
  };

  fileReader.readAsArrayBuffer(blob);
}

// When selecting a file on the input
fileInput.onchange = () => {
  const file = fileInput.files && fileInput.files[0];
  if (!file) return;

  validateImageMimeType(file, valid => {
    if (!valid) {
      alert('Not a valid image file.');
    }
  });
};

<输入类型=“文件” id=“文件输入”>

这是一个最小的typescript/promise util浏览器;

export const getFileHeader = (file: File): Promise<string> => {
  return new Promise(resolve => {
    const headerBytes = file.slice(0, 4); // Read the first 4 bytes of the file
    const fileReader = new FileReader();
    fileReader.onloadend = (e: ProgressEvent<FileReader>) => {
      const arr = new Uint8Array(e?.target?.result as ArrayBufferLike).subarray(
        0,
        4,
      );
      let header = '';
      for (let i = 0; i < arr.length; i++) {
        header += arr[i].toString(16);
      }
      resolve(header);
    };
    fileReader.readAsArrayBuffer(headerBytes);
  });
};

在你的验证中像这样使用(我需要一个PDF检查);

// https://mimesniff.spec.whatwg.org/#matching-an-image-type-pattern
const pdfBytePattern = "25504446"
const fileHeader = await getFileHeader(file)
const isPdf = fileHeader === pdfBytePattern // => true

简短的回答是否定的。

正如您所注意到的,浏览器从文件扩展名派生类型。Mac预览似乎也运行了扩展。我假设这是因为它更快地读取包含在指针中的文件名,而不是查找和读取磁盘上的文件。

我复制了一个重命名为png的jpg文件。

我能够始终如一地从chrome中的两个图像中获得以下内容(应该在现代浏览器中工作)。

ÿØÿàJFIFÿþ;CREATOR: gd-jpeg v1.0(使用IJG JPEG v62),质量= 90

你可以通过String.indexOf('jpeg')检查图像类型。

这里有一个琴来探索http://jsfiddle.net/bamboo/jkZ2v/1/

例子中我忘记注释的含糊行

console.log( /^(.*)$/m.exec(window.atob( image.src.split(',')[1] )) );

拆分base64编码的img数据,保留在映像上 Base64解码映像 只匹配图像数据的第一行

提琴代码使用base64解码,这不会在IE9工作,我确实找到了一个很好的例子,使用VB脚本,在IE http://blog.nihilogic.dk/2008/08/imageinfo-reading-image-metadata-with.html工作

加载图像的代码来自Joel Vardy,他正在做一些很酷的图像画布调整客户端,然后上传,这可能是感兴趣的https://joelvardy.com/writing/javascript-image-upload