.net core 大文件上传

原创 已于 2022-08-03 16:49:14 修改 · 1.5k 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#.netcore #服务器
于 2022-08-03 16:44:04 首次发布
本文详细介绍了在.NET Core中处理大文件上传时的安全注意事项和解决方案,包括使用流式处理减少内存消耗、验证文件扩展名、大小和内容安全,以及设置上传限制。同时讨论了数据库、物理存储和云存储的不同存储方案,并提供了代码示例来演示如何实现安全的文件上传。

文章目录

.net core 大文件上传

注意事项

在用户上传文件时,有可能会遭受到攻击:

  • 执行拒绝服务攻击
  • 上传病毒或恶意软件
  • 以其他方式破坏网络和服务器

降低成功攻击可能性的安全措施如下:

  1. 将文件上传到专用文件上传区域,最好是非系统驱动器。 使用专用位置便于对上传的文件实施安全限制。 禁用对文件上传位置的执行权限;
  2. 保存文件的目录应与程序所在目录不一致
  3. 使用应用确定的安全的文件名,不使用用户提供的文件名或上传的文件的不受信任的文件名;
  4. 限制文件的扩展名
  5. 验证是否对服务器执行客户端检查。客户端检查易于规避;
  6. 限制上传文件的大小
  7. 文件不应该被具有相同名称的上传文件覆盖时,应先从数据库或物理存储上检查文件名,再上传文件;
  8. 先对上传的内容运行病毒/恶意软件扫描程序,然后再存储文件。

解决方案

存储方案

数据库存储:

  • 对于小型文件上传,数据库通常快于物理存储;
  • 数据库比物理存储更为方便,因为可以在查询用户数据时同事可以查询文件(例如用户头像)
  • 本地数据库存储比云数据库存储成本要低

物理存储:

  • 对于大型文件上传,数据库限制可能会限制上传的大小。
  • 物理存储比数据库存储成本更高
  • 进程需对存储位置有读写权限。切勿授予执行权限。

云数据存储服务

  • 服务通常通过本地解决方案提供提升的可伸缩性和复原能力,而它们往往受单一故障点的影响
  • 在大型存储基础结构方案中,服务的成本可能更低。

文件上传方案

缓冲

先将整个文件保存到内存,然后通过IFormFile得到stream。如果并发文件上传的数量和大小超过了内存的容量,网站就会因为内存不足而崩溃。

流式处理

将一个stream分多个Section读取并写入,无需将整个请求放入内存。流式传输无法显著提高性能。 流式传输可降低上传文件时对内存或磁盘空间的需求。

.net core 流式处理示例

完整代码:github代码路径

修改Kestrel最大请求正文限制

由于Kestrel最大请求正文限制在28.6M,在Program.cs里更改最大请求正文限制(bytes)。

var builder = WebApplication.CreateBuilder(args);

builder.WebHost.ConfigureKestrel(serverOptions => {
    serverOptions.Limits.MaxRequestBodySize = 524288000;
});

流式传输到物理位置的完整方法

[HttpPost]
[Route("upload")]
public async Task<IActionResult> Upload()
{
    if (!MultipartRequestHelper.IsMultipartContentType(Request.ContentType))
    {
        ModelState.AddModelError("File",
            "无法处理该请求(ContentType不是Multipart).");
        _logger.LogError("无法处理该请求(ContentType不是Multipart).");
        return BadRequest();
    }

    var boundary = MultipartRequestHelper.GetBoundary(
        MediaTypeHeaderValue.Parse(Request.ContentType),
        _defaultFormOptions.MultipartBoundaryLengthLimit);
    var reader = new MultipartReader(boundary, HttpContext.Request.Body);
    var section = await reader.ReadNextSectionAsync();

    while (section != null)
    {
        var hasContentDispositionHeader =
            ContentDispositionHeaderValue.TryParse(
                section.ContentDisposition, out var contentDisposition);

        if (hasContentDispositionHeader)
        {
            // 如果存在表单数据,立即失败并返回。
            if (!MultipartRequestHelper
                .HasFileContentDisposition(contentDisposition))
            {
                ModelState.AddModelError("File", $"无法处理该请求(ContentDisposition不是form-data,或文件名为空)");
                _logger.LogError("无法处理该请求(ContentDisposition不是form-data,或文件名为空)");
                return BadRequest(ModelState);
            }
            else
            {
                // 不要相信客户端发送的文件名。 要显示文件名,请对值进行 HTML 编码。
                var trustedFileNameForDisplay = WebUtility.HtmlEncode(
                        contentDisposition.FileName.Value);
                var trustedFileNameForFileStorage = Path.GetRandomFileName();

                // **警告!**
                // 在以下文件处理方法中,不会扫描文件的内容。
                // 在大多数生产场景中,在将文件提供给用户或其他系统之前,
                // 会在文件上使用防病毒/反恶意软件扫描程序 API。

                var streamedFileContent = await FileHelpers.ProcessStreamedFile(
                    section, contentDisposition, ModelState,
                    _permittedExtensions, _fileSizeLimit, _logger);

                if (!ModelState.IsValid)
                {
                    return BadRequest(ModelState);
                }

                using (var targetStream = System.IO.File.Create(
                    Path.Combine(_targetFilePath, trustedFileNameForFileStorage)))
                {
                    await targetStream.WriteAsync(streamedFileContent);

                    _logger.LogInformation(
                        "文件'{TrustedFileNameForDisplay}' 保存在 " +
                        "'{TargetFilePath}' 作为 {TrustedFileNameForFileStorage}",
                        trustedFileNameForDisplay, _targetFilePath,
                        trustedFileNameForFileStorage);
                }
            }
        }

        // 读取下一节
        section = await reader.ReadNextSectionAsync();
    }

    return Created(nameof(FileUploadController), null);
}

文件内容验证示例

文件扩展名验证

需验证文件的扩展名,将不能上传的文件类型排除在外。

var ext = Path.GetExtension(fileName).ToLowerInvariant();

if (string.IsNullOrEmpty(ext) || !permittedExtensions.Contains(ext))
{
    return false;
}
文件签名验证

文件的签名由文件开头部分中的前几个字节确定。 可以使用这些字节指示扩展名是否与文件内容匹配。 下面是常见压缩文件的示例。

private static readonly Dictionary<string, List<byte[]>> _fileSignature = new Dictionary<string, List<byte[]>>
{
    { ".zip", new List<byte[]>
        {
        new byte[] { 0x50, 0x4B, 0x03, 0x04 },
            new byte[] { 0x50, 0x4B, 0x4C, 0x49, 0x54, 0x45 },
            new byte[] { 0x50, 0x4B, 0x53, 0x70, 0x58 },
            new byte[] { 0x50, 0x4B, 0x05, 0x06 },
            new byte[] { 0x50, 0x4B, 0x07, 0x08 },
            new byte[] { 0x57, 0x69, 0x6E, 0x5A, 0x69, 0x70 },
        }
    },
    { ".rar", new List<byte[]> { new byte[] { 0x52, 0x61, 0x72, 0x21, 0x1A, 0x07,0x00 } } },
    { ".7z", new List<byte[]>{ new byte[] { 0x37,0x7A,0xBC,0xAF,0x27,0x1C } } },
}

using (var reader = new BinaryReader(data))
{
    // 文件签名检查
    var signatures = _fileSignature[ext];
    var headerBytes = reader.ReadBytes(signatures.Max(m => m.Length));
}
文件名安全

尽量不要使用客户端提供的文件名,作为文件存储的文件名。使用 Path.GetRandomFileNamePath.GetTempFileName 为文件创建安全的文件名。
如果文件重名的情况下,不覆盖文件,需要在数据库中查询文件是否重名。

大小验证

限制上传的文件的大小。
appsetting.json文件内容

{
  "FileSizeLimit": 524288000
}

文件大小超出限制时,将拒绝文件

if (memoryStream.Length > sizeLimit)
{
    // 文件过大的处理...
}
.NET Core Web APi大文件分片上传研究实现
12-30
前言 前两天发表利用FormData进行文件上传,然后有人问要是大文件几个G上传怎么搞,常见的不就是分片再搞下断点续传,动动手差不多也能搞出来,只不过要深入的话,考虑的东西还是很多。由于断点续传之前写个几篇,这里试试利用FormData来进行分片上传.NET Core Web APi文件分片上传 这里我们依然是使用FormData来上传,只不过在上传之前对文件进行分片处理,如下HTML代码 <div class=co
.NetCore——大文件上传
qiaofan_乔凡的博客
02-28 2383
.NetCore——大文件上传 一、前言 最近在项目开发中遇到了大文件上传的功能,在进行大文件上传的时候也是踩了很多坑。以下是我的一些总结。页面用的boostrapfileinput插件,后台MVC。先说说我遇到的坑: 1.文件上传默认最大应该是30M,上传比这大的文件就会报错 2.上传限制的扩大,有好几个地方都需要改 3.扩大限制后在进行上传的时候后台接受不到 这些就是我遇到的一些坑,接下来就开...
ASP.NET Core Mvc文件上传限制问题解决方案
2301_78484069的博客
10-14 707
然而,框架默认情况下对文件上传的大小有限制,这可能会导致在上传大文件时出现问题。在HTML表单中,添加一个file类型的输入字段,并为表单设置enctype属性为"multipart/form-data",以便支持文件上传。在以上代码中,我们使用了FormOptions类,并将MultipartBodyLengthLimit属性设置为long.MaxValue,表示允许上传的文件大小无限制。在ASP.NET Core Mvc中,可以通过配置来设置文件上传的大小限制。否则,我们可以执行文件上传的操作。
手把手解决DETR训练中的‘KeyError: area’等常见坑,附RSOD/DIOR/YOLO转COCO格式万能脚本
最新发布
weixin_30580341的博客
05-20 602
本文深入解析DETR训练中常见的'KeyError: area'问题,提供RSOD/DIOR/YOLO转COCO格式的万能脚本,帮助开发者高效处理数据集转换难题。通过详细教程和实战案例,解决DETR训练中的数据格式要求,提升目标检测模型训练效率。
.net core 文件上传大文件处理
02-13 953
.NET Core 中,处理文件上传和处理大文件是常见需求。无论是小文件还是大文件,我们都需要注意内存管理和性能优化,以确保应用的稳定性和高效性。
C# WEB怎么实现大文件上传
alisky119的博客
08-10 886
昨天晚上一个网友给我发私信问了这个问题,这个网友是个大三的学生,也是计算机专业,是准备做毕业设计,然后刚好选的这个题目,希望能够一起探讨一下技术问题,平时对技术这块也是自己专研比较多,上学期间自学了asp.net,也自己做过一些项目,他们系的网站就是他负责开发的,可以说也是非常有能力的一个网友。ASP.NET WEB API实现简单的文件下载与上传,ASP.NET大文件分片上传,24小时技术支持服务,提供文档教程,视频教程,远程技术指导,1对1技术支持服务,提供手机,微信,QQ,邮箱,企业微信等联系方式。
.NET CORE上传大文件Request body too large/请求长度过长问题解决方案
MoFe1的博客
08-18 4837
.NET CORE上传大文件Request body too large解决方案
.net core框架下的大文件上传技巧有哪些?
weixin_52050572的博客
06-06 725
要求:免费,开源,技术支持功能:大文件上传下载,断点续传,文件夹上传下载,加密传输,加密存储,云对象存储前端:vue2,vue3,vue.js,vue-cli,react,html,jquery后端:asp.net,vb.net,.net core,.net mvc,.net webform平台:Windows,macOS,Linux,Ubuntu,RedHat,CentOS,中标麒麟,银河麒麟,统信UOS,信创国产化。
.NET Core下的大文件上传解决方案有哪些?
weixin_45525177的博客
04-25 892
要求:免费,开源,技术支持功能:大文件上传下载,断点续传,文件夹上传下载,加密传输,加密存储,云对象存储前端:vue2,vue3,vue.js,vue-cli,react,html,jquery后端:asp.net,vb.net,.net core,.net mvc,.net webform平台:Windows,macOS,Linux,Ubuntu,RedHat,CentOS,中标麒麟,银河麒麟,统信UOS,信创国产化。
如何使用 ASP.NET Core 上传大文件
热门推荐
csdn_aspnet的专栏,请点击博客主页右上角三个点中的私信联系
01-04 11万+
在本篇文章中,我们修改了上传 API,使用流式传输方法来处理大容量文件。接下来,我们将演示如何通过 API 端使用 MultiparReader。需要提一下的是,如果您的文件API向公众开放,那么您必须更加关心可能发生的安全性和病毒威胁。其余部分,我们只需向我们的文件 API 发送上传请求,并在本地测试环境下比较。流式方法在处理较大文件方面具有优势,这一点并不令我们感到惊讶。其次,我们可能有两种方法来处理文件上传。但对于较大的文件,我们可能无法利用缓冲,并且可能很容易耗尽我们的。[Payload 太大]。
.net core 批量上传大文件
02-21 655
.net core 批量上传大文件
.net core 怎么上传大文件(c# ),.net core web上传文件进度条,web切片上传
baidu_26504655的博客
05-27 4521
.net core 我们都知道用IFormFile 上传文件很方便,但是这种对大文件读取放内存,服务器吃不消,就算你配置,服务器也不可能给你一次性超大文件传输或者长连接,切片上传是最好的解决方案 一、前端对文件进行计算切割分批请求上传 HTML源码 <html> <head> <meta name="viewport" content="wi...
.NetCore WebUploader 实现大文件分片上传
csdn_aspnet的专栏,请点击博客主页右上角三个点中的私信联系
06-08 9万+
WebUploader是由Baidu WebFE(FEX)团队开发的一个简单的以HTML5为主,FLASH为辅的现代文件上传组件。在现代的浏览器里面能充分发挥HTML5的优势,同时又不摒弃主流IE浏览器,沿用原来的FLASH运行时,兼容IE6+,iOS 6+, android 4+。两套运行时,同样的调用方式,可供用户任意选用。项目要求通过网站上传大文件,比如视频文件,通过摸索实现了文件分片来上传,然后后台进行合并。采用大文件分片并发上传,极大的提高了文件上传效率。希望以上代码可以对您有所帮助。
.net core 上传文件大小限制
SS33SSS的博客
09-04 1816
微软官网文档中给的解释是.net core 默认上传文件大小限制是30M,所以即便你项目里没有限制,这里也有个默认限制。2.在Startup的ConfigureServices中添加代码段 //上传文件大小限制Kestrel设置。--//上传文件大小限制IIS设置 256M -->1.首先项目里添加一个web.config自定义。//上传文件大小限制IIS设置。在配置文件中加上这段配置。
芯片制造行业的大文件上传需求如何解决?
alisky119的博客
04-24 1012
要求:免费,开源,技术支持功能:大文件上传下载,断点续传,文件夹上传下载,加密传输,加密存储,云对象存储前端:vue2,vue3,vue.js,vue-cli,react,html,jquery后端:asp.net,vb.net,.net core,.net mvc,.net webform平台:Windows,macOS,Linux,Ubuntu,RedHat,CentOS,中标麒麟,银河麒麟,统信UOS,信创国产化。
.Net Core 上传文件(附前后端代码)
你要明白,任何问题都不是孤立存在的,一定有人曾经遇到过,并且已经有更好的解决办法了,只是我还不知道。我不应该在黑暗中独自前行,去重新发明轮子,也许我的顿悟,只是别人的基本功!我应该要站在巨人的肩膀上,学习更成熟的经验和方法,然后再来解决这个问题
11-29 6614
前段 @{ ViewData["Title"] = "Home Page"; } <form id="form1" action="~/Home/UploadFiles" enctype="multipart/form-data" method="post"> <div class="text-center"> ...
版式文件 流式文件_在.NetCore中实现流式大文件上传
weixin_39707693的博客
12-06 1021
大家好,今天给大家分享一下关于大文件上传的时候使用到的一些方法和技巧。在现实的需求当中,经常会用到文件的上传,如用户头像的更换、数据报表的导入或网站后台的上传视频等,都离不开文件的上传。注:本文所用IDE为Rider。一、单个普通文件的上传1 项目层级图2 控制器方法,[FromForm] IFormFile 参数绑定3 上传文件逻辑使用微软推荐的IFormFile 来接收用户传进的...
如何在ASP.NET Core上传大文件
weixin_52041354的博客
02-21 1387
一、 功能性需求与非功能性需求 要求操作便利,一次选择多个文件和文件夹进行上传; 支持PC端全平台操作系统,Windows,Linux,Mac 支持文件和文件夹的批量下载,断点续传。刷新页面后继续传输。关闭浏览器后保留进度信息。 支持文件夹批量上传下载,服务器端保留文件夹层级结构,服务器端文件夹层级结构与本地相同。 支持大文件批量上传(20G)和下载,同时需要保证上传期间用户电脑不出现卡死等体验; 支持文件夹上传,文件夹中的文件数量达到1万个以上,且包含层级结构。 支持断点续传,关闭浏览器或刷新浏
.NET大文件上传详解及实例代码
alisky119的博客
09-20 989
前端:vue2,vue3,vue-cli,html,jquery后端:asp.net,.net core数据库:SQL Server,MySQL,Oracle,达梦,人大金仓,国产数据库功能:大文件上传下载,断点续传,文件夹上传下载,加密传输,加密存储,云对象存储该说不说,最近这块挻火的,今天早上又有网友加我微信,实际上我的微信号之前就已经在网上公开了,但是很多网友还是说找不到,这个就真没办法了。
.net core的web服务上传文件大小的控制
lxyforever5的博客
06-07 1338
对文件applicationhost.config进行设置(文件地址可能存在.vs里面某个文件夹下面的config文件夹内)可以实现大文件上传成功,只要不超过此处设置的大小即可。通过查阅相关资料并进行验证,发现如果在上传超过web服务器的文件大小时,报错,可以根据错误信息进行设置相关数据;在经过(以下1,2,3设置均无效的情况下(没有web.config文件),多种设置情况,详细可以百度)2.StartUp.cs 文件内设置。1.设置Program.cs。以上设置验证均未生效的情况下。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

木白说

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值