Discussion :

[jeyce]

Salut,

Je souhaite utiliser les FormFile de struts pour uploader des fichiers.
Ca marche mais il y a un problème sur la méthode getContentType(), apparemment celle-ci se base sur l'extension du fichier pour renvoyer le type, ce qui me parait loin d'être fiable et sécurisant.
En fait j'ai renommer un gif en zip pour tester, et ça me sort un "application/zip" comme type.
Ca veut dire qu'il suffit de remplacer l'extension d'un fichier "malicieux" pour pouvoir l'uploader tranquillement...

Y a-t-il un remède à ça ?

Merci d'avance.

[mixouille]

A ma connaissance, c'est ce qui est fait chez la plupart des sites qui proposent des uploads. Le content type est directement lié à l'extension, aucun framework ne peut identifier le "vrai" content type en fouillant le fichier, car il y en a autant que d'applications, et il n'y a pas de "signature" normalisée des fichiers.
Le mieux que tu aies à faire, c'est faire confiance à l'extension (qui évite 99% des problèmes), et utiliser un anti-virus pour le côté "malicieux", comme le font les webmails.

[jeyce]

Merci d'avoir répondu et d'avoir confirmé ma crainte ;-)

Techniquement on peut, en lisant les premiers bytes, trouver le type de fichier, mais c'est lourd à mettre en place dans mon cas.

Sinon j'avais déjà utilisé le package fileupload (Apache) qui lui était vraiment fiable. Mais là pareil, je veux utiliser la solution la plus simple, donc Struts...

[mixouille]

Merci pour ces infos, c'est bon à savoir.
Mais désolé, je n'ai pas de meilleure solution à te proposer. Ceci dit je ne vois pas en quoi utiliser l'outil d'apache serait moins simple. Au contraire, utiliser des outils adaptés est l'assurance de moins coder, donc d'être plus clair et plus simple. Si tu implémentes fileupload, je te serais reconnaissant si tu postais un petit retour d'expérience, car j'ai déjà eu des soucis sur l'upload, notamment dans le cas d'un formulaire mixte (texte et binaire).

[jeyce]

J'ai utilisé FileUpload pour le transfert de vidéos.
En fait ça marchait mais nous ne sommes pas allés jusqu'en production avec cet outil, donc je ne peux pas donner d'idée sur sa fiabilité ou sa rapidité en utilisation intensive.
D'après mon souvenir, lui me donnait le bon type MIME, mais je n'ai testé que sur Windows.