.NET/C# 根据文件头部 byte[] 校验上传文件

小渣渣

需求：今天浏览到之前同事写的一篇文章，根据“C#根据byte前两位获取图片扩展名”，之前也了解过基于 TrID 来识别文件格式。

首先，通过读取文件头前2个字节来获取文件格式（其实也不能完全相信文件头，毕竟文件可以任意伪造），如下图：

TrID 是一种实用程序，旨在根据二进制签名识别文件类型。虽然有类似的硬编码逻辑实用程序，但 TrID 没有固定规则。相反，它是可扩展的，并且可以被训练以快速和自动的方式识别新格式。

查看文件类型网址：https://mark0.net/soft-trid-deflist.html

还是以 jpg 类型为例，尝试读取一张本地的 QQ 截图，Header Hexdump（https://file-extension.net/seeker/file_extension_jpg） 如下图：



再测试一个 exe 类型的文件，如下图：



代码如下：

登录可见。

利用读取文件头的方法可以简单过滤用户提交的文件类型是否符合要求（还是那句话：文件能伪造，但是能防止大部分小白上传不符合要求的文件），例如：只允许上传 word 文档，别人将 .txt 文件格式改成 .docx 格式上传就能校验通过？？？

（完）

小渣渣

.NET/C# 之 Stream 读取磁盘文件内存优化
https://www.itsvse.com/thread-10608-1-1.html

小渣渣

文件签名验证
文件的签名由文件开头部分中的前几个字节确定。 可以使用这些字节指示扩展名是否与文件内容匹配。 示例应用检查一些常见文件类型的文件签名。 在下面的示例中，在文件上检查 JPEG 图像的文件签名：

登录可见。

参考链接：https://learn.microsoft.com/zh-cn/aspnet/core/mvc/models/file-uploads