IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Struts 1 Java Discussion :

FormFile : getContentType() pas fiable


Sujet :

Struts 1 Java

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Membre confirmé
    Profil pro
    Inscrit en
    Avril 2004
    Messages
    78
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations forums :
    Inscription : Avril 2004
    Messages : 78
    Par défaut FormFile : getContentType() pas fiable
    Salut,

    Je souhaite utiliser les FormFile de struts pour uploader des fichiers.
    Ca marche mais il y a un problème sur la méthode getContentType(), apparemment celle-ci se base sur l'extension du fichier pour renvoyer le type, ce qui me parait loin d'être fiable et sécurisant.
    En fait j'ai renommer un gif en zip pour tester, et ça me sort un "application/zip" comme type.
    Ca veut dire qu'il suffit de remplacer l'extension d'un fichier "malicieux" pour pouvoir l'uploader tranquillement...

    Y a-t-il un remède à ça ?

    Merci d'avance.

  2. #2
    Membre chevronné
    Profil pro
    Inscrit en
    Juillet 2006
    Messages
    376
    Détails du profil
    Informations personnelles :
    Âge : 44
    Localisation : France

    Informations forums :
    Inscription : Juillet 2006
    Messages : 376
    Par défaut
    A ma connaissance, c'est ce qui est fait chez la plupart des sites qui proposent des uploads. Le content type est directement lié à l'extension, aucun framework ne peut identifier le "vrai" content type en fouillant le fichier, car il y en a autant que d'applications, et il n'y a pas de "signature" normalisée des fichiers.
    Le mieux que tu aies à faire, c'est faire confiance à l'extension (qui évite 99% des problèmes), et utiliser un anti-virus pour le côté "malicieux", comme le font les webmails.

  3. #3
    Membre confirmé
    Profil pro
    Inscrit en
    Avril 2004
    Messages
    78
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations forums :
    Inscription : Avril 2004
    Messages : 78
    Par défaut
    Merci d'avoir répondu et d'avoir confirmé ma crainte ;-)

    Techniquement on peut, en lisant les premiers bytes, trouver le type de fichier, mais c'est lourd à mettre en place dans mon cas.

    Sinon j'avais déjà utilisé le package fileupload (Apache) qui lui était vraiment fiable. Mais là pareil, je veux utiliser la solution la plus simple, donc Struts...

  4. #4
    Membre chevronné
    Profil pro
    Inscrit en
    Juillet 2006
    Messages
    376
    Détails du profil
    Informations personnelles :
    Âge : 44
    Localisation : France

    Informations forums :
    Inscription : Juillet 2006
    Messages : 376
    Par défaut
    Merci pour ces infos, c'est bon à savoir.
    Mais désolé, je n'ai pas de meilleure solution à te proposer. Ceci dit je ne vois pas en quoi utiliser l'outil d'apache serait moins simple. Au contraire, utiliser des outils adaptés est l'assurance de moins coder, donc d'être plus clair et plus simple. Si tu implémentes fileupload, je te serais reconnaissant si tu postais un petit retour d'expérience, car j'ai déjà eu des soucis sur l'upload, notamment dans le cas d'un formulaire mixte (texte et binaire).

  5. #5
    Membre confirmé
    Profil pro
    Inscrit en
    Avril 2004
    Messages
    78
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations forums :
    Inscription : Avril 2004
    Messages : 78
    Par défaut
    J'ai utilisé FileUpload pour le transfert de vidéos.
    En fait ça marchait mais nous ne sommes pas allés jusqu'en production avec cet outil, donc je ne peux pas donner d'idée sur sa fiabilité ou sa rapidité en utilisation intensive.
    D'après mon souvenir, lui me donnait le bon type MIME, mais je n'ai testé que sur Windows.

Discussions similaires

  1. L’accès par programme au projet Visual Basic n’est pas fiable
    Par wilfried_42 dans le forum Macros et VBA Excel
    Réponses: 2
    Dernier message: 29/05/2011, 13h49
  2. Fulltext & Contains pas fiable ?
    Par Marc_L dans le forum Développement
    Réponses: 2
    Dernier message: 08/12/2010, 15h59
  3. gethostbyname() pas fiable
    Par laclac dans le forum Langage
    Réponses: 2
    Dernier message: 07/07/2010, 23h26
  4. [XL-2003] Références : accès par pgm au projet VB pas fiable
    Par datacell33 dans le forum Macros et VBA Excel
    Réponses: 2
    Dernier message: 08/09/2009, 10h33
  5. Winsock fonction recv pas fiable?
    Par ssmint dans le forum Développement
    Réponses: 4
    Dernier message: 26/11/2007, 20h41

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo