ASP.NET通过byte正确安全的判断上传文件格式

ASP.NET中在判断文件格式时，我们以前常用的方法就是通过截取扩展名来做判断，或者通过ContentType (MIME) 判断，这两种方法都不太安全，因为这两种方式用户都可以伪造，从而达可以攻击网站，实现给网站挂马等目的。

下面介绍通过byte获取文件类型，来做判断的方式

if (Request.Files.Count > 0)
{
  //这里只测试上传第一张图片file[0]
  HttpPostedFile file0 = Request.Files[0];
    
  //转换成byte,读取图片MIME类型
  Stream stream;
  //int contentLength = file0.ContentLength; //文件长度
  byte[] fileByte = new byte[2];//contentLength，这里我们只读取文件长度的前两位用于判断就好了，这样速度比较快，剩下的也用不到。
  stream = file0.InputStream;
  stream.Read(fileByte, 0, 2);//contentLength，还是取前两位
  stream.Close();
    
  string fileFlag = "";
  if (fileByte != null && fileByte.Length > 0)//图片数据是否为空
  {
    fileFlag = fileByte[0].ToString() + fileByte[1].ToString();         
  }
  string[] fileTypeStr = { "255216", "7173", "6677", "13780" };//对应的图片格式jpg,gif,bmp,png
  if (fileTypeStr.Contains(fileFlag))
  {
    file0.SaveAs(Server.MapPath("~/" + file0.FileName));
  }
  else
  {
    Response.Write("图片格式不正确:" + fileFlag);
  }
}

常见文件类型对应的byte数据