我读了这个和这个问题,似乎表明文件MIME类型可以在客户端使用JavaScript检查。现在,我知道真正的验证仍然必须在服务器端完成。我想执行客户端检查,以避免不必要的服务器资源浪费。

为了测试这是否可以在客户端完成,我将一个JPEG测试文件的扩展名更改为.png,并选择该文件进行上传。在发送文件之前,我使用JavaScript控制台查询文件对象:

document.getElementsByTagName('input')[0].files[0];

这是我在Chrome 28.0上得到的:

文件{webkitRelativePath: "", lastModifiedDate: Tue Oct 16 2012 10:00:00 GMT+0000 (UTC),名称:“test.png”,类型:“image/png”,大小: 500055年…}

它显示的类型为image/png,这似乎表明检查是基于文件扩展名而不是MIME类型。我尝试了火狐22.0,它给了我同样的结果。但是根据W3C规范,应该实现MIME嗅探。

我是正确的说,没有办法检查MIME类型与JavaScript的时刻?还是我遗漏了什么?


当前回答

在将文件上传到服务器之前,您可以使用JavaScript的FileReader轻松确定文件的MIME类型。我同意我们应该更喜欢服务器端检查而不是客户端检查,但是客户端检查仍然是可能的。我将向您展示如何操作,并在底部提供一个工作演示。


检查您的浏览器是否同时支持File和Blob。所有主要国家都应该如此。

if (window.FileReader && window.Blob) {
    // All the File APIs are supported.
} else {
    // File and Blob are not supported
}

步骤1:

你可以从<input>元素中检索File信息,就像这样(ref):

<input type="file" id="your-files" multiple>
<script>
var control = document.getElementById("your-files");
control.addEventListener("change", function(event) {
    // When the control has changed, there are new files
    var files = control.files,
    for (var i = 0; i < files.length; i++) {
        console.log("Filename: " + files[i].name);
        console.log("Type: " + files[i].type);
        console.log("Size: " + files[i].size + " bytes");
    }
}, false);
</script>

下面是上面的拖放版本(参考):

<div id="your-files"></div>
<script>
var target = document.getElementById("your-files");
target.addEventListener("dragover", function(event) {
    event.preventDefault();
}, false);

target.addEventListener("drop", function(event) {
    // Cancel default actions
    event.preventDefault();
    var files = event.dataTransfer.files,
    for (var i = 0; i < files.length; i++) {
        console.log("Filename: " + files[i].name);
        console.log("Type: " + files[i].type);
        console.log("Size: " + files[i].size + " bytes");
    }
}, false);
</script>

步骤2:

现在我们可以检查文件并梳理出头文件和MIME类型。

快速方法

你可以naïvely问Blob它所代表的文件的MIME类型使用这个模式:

var blob = files[i]; // See step 1 above
console.log(blob.type);

对于图像,MIME类型返回如下所示:

图像/JPEG 图片/PNG ...

注意:MIME类型是从文件扩展名中检测到的,可以被愚弄或欺骗。可以将.jpg重命名为.png, MIME类型将被报告为image/png。


正确的头部检查方法

要获得客户端文件的真实MIME类型,我们可以进一步检查给定文件的前几个字节,并与所谓的魔术数字进行比较。需要注意的是,它并不完全简单,因为,例如,JPEG有一些“神奇的数字”。这是因为该格式自1991年以来已经发生了变化。您可能只检查前两个字节,但我更喜欢检查至少4个字节,以减少误报。

JPEG文件签名示例(前4个字节):

Ff d8 Ff e0 (soi + add0) Ff d8 Ff e1 (soi + add1) Ff d8 Ff e2 (soi + add2)

下面是检索文件头的基本代码:

var blob = files[i]; // See step 1 above
var fileReader = new FileReader();
fileReader.onloadend = function(e) {
  var arr = (new Uint8Array(e.target.result)).subarray(0, 4);
  var header = "";
  for(var i = 0; i < arr.length; i++) {
     header += arr[i].toString(16);
  }
  console.log(header);

  // Check the file signature against known types

};
fileReader.readAsArrayBuffer(blob);

然后你可以像这样确定真正的MIME类型(更多的文件签名在这里和这里):

switch (header) {
    case "89504e47":
        type = "image/png";
        break;
    case "47494638":
        type = "image/gif";
        break;
    case "ffd8ffe0":
    case "ffd8ffe1":
    case "ffd8ffe2":
    case "ffd8ffe3":
    case "ffd8ffe8":
        type = "image/jpeg";
        break;
    default:
        type = "unknown"; // Or you can use the blob.type as fallback
        break;
}

根据预期的MIME类型接受或拒绝文件上传。


Demo

这里有一个本地文件和远程文件的工作演示(为了这个演示,我不得不绕过CORS)。打开该代码片段并运行它,您应该会看到显示了三个不同类型的远程映像。在顶部,您可以选择一个本地图像或数据文件,文件签名和/或MIME类型将显示出来。

注意,即使重命名了图像,也可以确定其真实的MIME类型。见下文。

截图


// Return the first few bytes of the file as a hex string function getBLOBFileHeader(url, blob, callback) { var fileReader = new FileReader(); fileReader.onloadend = function(e) { var arr = (new Uint8Array(e.target.result)).subarray(0, 4); var header = ""; for (var i = 0; i < arr.length; i++) { header += arr[i].toString(16); } callback(url, header); }; fileReader.readAsArrayBuffer(blob); } function getRemoteFileHeader(url, callback) { var xhr = new XMLHttpRequest(); // Bypass CORS for this demo - naughty, Drakes xhr.open('GET', '//cors-anywhere.herokuapp.com/' + url); xhr.responseType = "blob"; xhr.onload = function() { callback(url, xhr.response); }; xhr.onerror = function() { alert('A network error occurred!'); }; xhr.send(); } function headerCallback(url, headerString) { printHeaderInfo(url, headerString); } function remoteCallback(url, blob) { printImage(blob); getBLOBFileHeader(url, blob, headerCallback); } function printImage(blob) { // Add this image to the document body for proof of GET success var fr = new FileReader(); fr.onloadend = function() { $("hr").after($("<img>").attr("src", fr.result)) .after($("<div>").text("Blob MIME type: " + blob.type)); }; fr.readAsDataURL(blob); } // Add more from http://en.wikipedia.org/wiki/List_of_file_signatures function mimeType(headerString) { switch (headerString) { case "89504e47": type = "image/png"; break; case "47494638": type = "image/gif"; break; case "ffd8ffe0": case "ffd8ffe1": case "ffd8ffe2": type = "image/jpeg"; break; default: type = "unknown"; break; } return type; } function printHeaderInfo(url, headerString) { $("hr").after($("<div>").text("Real MIME type: " + mimeType(headerString))) .after($("<div>").text("File header: 0x" + headerString)) .after($("<div>").text(url)); } /* Demo driver code */ var imageURLsArray = ["http://media2.giphy.com/media/8KrhxtEsrdhD2/giphy.gif", "http://upload.wikimedia.org/wikipedia/commons/e/e9/Felis_silvestris_silvestris_small_gradual_decrease_of_quality.png", "http://static.giantbomb.com/uploads/scale_small/0/316/520157-apple_logo_dec07.jpg"]; // Check for FileReader support if (window.FileReader && window.Blob) { // Load all the remote images from the urls array for (var i = 0; i < imageURLsArray.length; i++) { getRemoteFileHeader(imageURLsArray[i], remoteCallback); } /* Handle local files */ $("input").on('change', function(event) { var file = event.target.files[0]; if (file.size >= 2 * 1024 * 1024) { alert("File size must be at most 2MB"); return; } remoteCallback(escape(file.name), file); }); } else { // File and Blob are not supported $("hr").after( $("<div>").text("It seems your browser doesn't support FileReader") ); } /* Drakes, 2015 */ img { max-height: 200px } div { height: 26px; font: Arial; font-size: 12pt } form { height: 40px; } <script src="https://ajax.googleapis.com/ajax/libs/jquery/1.9.1/jquery.min.js"></script> <form> <input type="file" /> <div>Choose an image to see its file signature.</div> </form> <hr/>

其他回答

在将文件上传到服务器之前,您可以使用JavaScript的FileReader轻松确定文件的MIME类型。我同意我们应该更喜欢服务器端检查而不是客户端检查,但是客户端检查仍然是可能的。我将向您展示如何操作,并在底部提供一个工作演示。


检查您的浏览器是否同时支持File和Blob。所有主要国家都应该如此。

if (window.FileReader && window.Blob) {
    // All the File APIs are supported.
} else {
    // File and Blob are not supported
}

步骤1:

你可以从<input>元素中检索File信息,就像这样(ref):

<input type="file" id="your-files" multiple>
<script>
var control = document.getElementById("your-files");
control.addEventListener("change", function(event) {
    // When the control has changed, there are new files
    var files = control.files,
    for (var i = 0; i < files.length; i++) {
        console.log("Filename: " + files[i].name);
        console.log("Type: " + files[i].type);
        console.log("Size: " + files[i].size + " bytes");
    }
}, false);
</script>

下面是上面的拖放版本(参考):

<div id="your-files"></div>
<script>
var target = document.getElementById("your-files");
target.addEventListener("dragover", function(event) {
    event.preventDefault();
}, false);

target.addEventListener("drop", function(event) {
    // Cancel default actions
    event.preventDefault();
    var files = event.dataTransfer.files,
    for (var i = 0; i < files.length; i++) {
        console.log("Filename: " + files[i].name);
        console.log("Type: " + files[i].type);
        console.log("Size: " + files[i].size + " bytes");
    }
}, false);
</script>

步骤2:

现在我们可以检查文件并梳理出头文件和MIME类型。

快速方法

你可以naïvely问Blob它所代表的文件的MIME类型使用这个模式:

var blob = files[i]; // See step 1 above
console.log(blob.type);

对于图像,MIME类型返回如下所示:

图像/JPEG 图片/PNG ...

注意:MIME类型是从文件扩展名中检测到的,可以被愚弄或欺骗。可以将.jpg重命名为.png, MIME类型将被报告为image/png。


正确的头部检查方法

要获得客户端文件的真实MIME类型,我们可以进一步检查给定文件的前几个字节,并与所谓的魔术数字进行比较。需要注意的是,它并不完全简单,因为,例如,JPEG有一些“神奇的数字”。这是因为该格式自1991年以来已经发生了变化。您可能只检查前两个字节,但我更喜欢检查至少4个字节,以减少误报。

JPEG文件签名示例(前4个字节):

Ff d8 Ff e0 (soi + add0) Ff d8 Ff e1 (soi + add1) Ff d8 Ff e2 (soi + add2)

下面是检索文件头的基本代码:

var blob = files[i]; // See step 1 above
var fileReader = new FileReader();
fileReader.onloadend = function(e) {
  var arr = (new Uint8Array(e.target.result)).subarray(0, 4);
  var header = "";
  for(var i = 0; i < arr.length; i++) {
     header += arr[i].toString(16);
  }
  console.log(header);

  // Check the file signature against known types

};
fileReader.readAsArrayBuffer(blob);

然后你可以像这样确定真正的MIME类型(更多的文件签名在这里和这里):

switch (header) {
    case "89504e47":
        type = "image/png";
        break;
    case "47494638":
        type = "image/gif";
        break;
    case "ffd8ffe0":
    case "ffd8ffe1":
    case "ffd8ffe2":
    case "ffd8ffe3":
    case "ffd8ffe8":
        type = "image/jpeg";
        break;
    default:
        type = "unknown"; // Or you can use the blob.type as fallback
        break;
}

根据预期的MIME类型接受或拒绝文件上传。


Demo

这里有一个本地文件和远程文件的工作演示(为了这个演示,我不得不绕过CORS)。打开该代码片段并运行它,您应该会看到显示了三个不同类型的远程映像。在顶部,您可以选择一个本地图像或数据文件,文件签名和/或MIME类型将显示出来。

注意,即使重命名了图像,也可以确定其真实的MIME类型。见下文。

截图


// Return the first few bytes of the file as a hex string function getBLOBFileHeader(url, blob, callback) { var fileReader = new FileReader(); fileReader.onloadend = function(e) { var arr = (new Uint8Array(e.target.result)).subarray(0, 4); var header = ""; for (var i = 0; i < arr.length; i++) { header += arr[i].toString(16); } callback(url, header); }; fileReader.readAsArrayBuffer(blob); } function getRemoteFileHeader(url, callback) { var xhr = new XMLHttpRequest(); // Bypass CORS for this demo - naughty, Drakes xhr.open('GET', '//cors-anywhere.herokuapp.com/' + url); xhr.responseType = "blob"; xhr.onload = function() { callback(url, xhr.response); }; xhr.onerror = function() { alert('A network error occurred!'); }; xhr.send(); } function headerCallback(url, headerString) { printHeaderInfo(url, headerString); } function remoteCallback(url, blob) { printImage(blob); getBLOBFileHeader(url, blob, headerCallback); } function printImage(blob) { // Add this image to the document body for proof of GET success var fr = new FileReader(); fr.onloadend = function() { $("hr").after($("<img>").attr("src", fr.result)) .after($("<div>").text("Blob MIME type: " + blob.type)); }; fr.readAsDataURL(blob); } // Add more from http://en.wikipedia.org/wiki/List_of_file_signatures function mimeType(headerString) { switch (headerString) { case "89504e47": type = "image/png"; break; case "47494638": type = "image/gif"; break; case "ffd8ffe0": case "ffd8ffe1": case "ffd8ffe2": type = "image/jpeg"; break; default: type = "unknown"; break; } return type; } function printHeaderInfo(url, headerString) { $("hr").after($("<div>").text("Real MIME type: " + mimeType(headerString))) .after($("<div>").text("File header: 0x" + headerString)) .after($("<div>").text(url)); } /* Demo driver code */ var imageURLsArray = ["http://media2.giphy.com/media/8KrhxtEsrdhD2/giphy.gif", "http://upload.wikimedia.org/wikipedia/commons/e/e9/Felis_silvestris_silvestris_small_gradual_decrease_of_quality.png", "http://static.giantbomb.com/uploads/scale_small/0/316/520157-apple_logo_dec07.jpg"]; // Check for FileReader support if (window.FileReader && window.Blob) { // Load all the remote images from the urls array for (var i = 0; i < imageURLsArray.length; i++) { getRemoteFileHeader(imageURLsArray[i], remoteCallback); } /* Handle local files */ $("input").on('change', function(event) { var file = event.target.files[0]; if (file.size >= 2 * 1024 * 1024) { alert("File size must be at most 2MB"); return; } remoteCallback(escape(file.name), file); }); } else { // File and Blob are not supported $("hr").after( $("<div>").text("It seems your browser doesn't support FileReader") ); } /* Drakes, 2015 */ img { max-height: 200px } div { height: 26px; font: Arial; font-size: 12pt } form { height: 40px; } <script src="https://ajax.googleapis.com/ajax/libs/jquery/1.9.1/jquery.min.js"></script> <form> <input type="file" /> <div>Choose an image to see its file signature.</div> </form> <hr/>

如果你只是想检查上传的文件是否是一张图像,你可以尝试将它加载到<img>标签中,检查是否有任何错误回调。

例子:

var input = document.getElementsByTagName('input')[0];
var reader = new FileReader();

reader.onload = function (e) {
    imageExists(e.target.result, function(exists){
        if (exists) {

            // Do something with the image file.. 

        } else {

            // different file format

        }
    });
};

reader.readAsDataURL(input.files[0]);


function imageExists(url, callback) {
    var img = new Image();
    img.onload = function() { callback(true); };
    img.onerror = function() { callback(false); };
    img.src = url;
}

对于Png文件,你可以做更多的检查,而不仅仅是检查一些神奇的头字节,因为Png文件有一个特定的文件格式,你可以检查。

TLDR:有一系列必须以特定顺序排列的块,并且每个块都有一个crc错误纠正码,您可以检查它是否有效。

https://en.wikipedia.org/wiki/Portable_Network_Graphics#File_format

我做了一个小库,检查块布局是正确的,它检查每个块的crc代码是有效的。准备作为npm包在这里消费:

https://www.npmjs.com/package/png-validator

这是你必须要做的

var fileVariable =document.getElementsById('fileId').files[0];

如果你想检查图像文件类型,那么

if(fileVariable.type.match('image.*'))
{
 alert('its an image');
}

对于那些不希望自己实现这个功能的人来说,Sindresorhus创建了一个在浏览器中工作的实用程序,并为您想要的大多数文档提供了头到mime的映射。

https://github.com/sindresorhus/file-type

你可以结合受害者。us的建议是只读取前X字节,以避免使用这个实用程序将所有内容加载到内存中(es6中的示例):

import fileType from 'file-type'; // or wherever you load the dependency

const blob = file.slice(0, fileType.minimumBytes);

const reader = new FileReader();
reader.onloadend = function(e) {
  if (e.target.readyState !== FileReader.DONE) {
    return;
  }

  const bytes = new Uint8Array(e.target.result);
  const { ext, mime } = fileType.fromBuffer(bytes);

  // ext is the desired extension and mime is the mimetype
};
reader.readAsArrayBuffer(blob);