Struts2 文件上传：allowedTypes.txt与文件类型的匹配解析

"Struts2 文件上传框架允许用户通过网页提交文件，为了确保上传的安全性，Struts2 提供了 `allowedTypes.txt` 配置文件来限制可接受的文件类型。这个配置文件包含了每种文件扩展名及其对应的 MIME 类型，只有在允许的列表内的文件类型才能成功上传。下面我们将详细探讨 Struts2 文件上传的工作原理以及如何配置 `allowedTypes.txt` 来控制文件类型。 在 Struts2 中，文件上传是通过 `struts2-core` 插件提供的 `FileUploadInterceptor` 实现的。当用户尝试上传文件时，该拦截器会检查每个文件的 MIME 类型，与 `allowedTypes.txt` 中定义的类型进行比较。如果上传的文件类型不在允许的范围内，系统将拒绝该文件，防止可能的恶意文件上传攻击。 `allowedTypes.txt` 文件的格式是一个键值对的列表，键是文件的扩展名，值是对应的 MIME 类型。例如，`.gif` 扩展名对应的是 `image/gif` 类型。配置文件中的每行代表一个扩展名和 MIME 类型的映射，可以包含多个扩展名，如 `.gif`, `.jpeg`, `.jpg` 都可以映射到 `image/jpeg` 类型。 配置文件中的 `#Duplicates:` 表示可能存在重复的 MIME 类型映射，这可能是由于历史原因或为了避免歧义。例如，`.cdf` 扩展名既可以映射到 `application/x-cdf` 也可以映射到 `application/x-netcdf`。在实际应用中，应当明确并统一这些映射关系，避免出现混乱。 要自定义文件上传的限制，你需要在 Struts2 的配置中指定 `allowedTypes.txt` 文件的位置。通常，这个文件会放在类路径下，比如 `WEB-INF/classes` 目录。然后在 Struts 配置文件（通常是 `struts.xml`）中，添加如下配置： ```xml <interceptors> <interceptor name="fileUpload" class="com.opensymphony.xwork2.interceptor.FileUploadInterceptor"> <param name="allowedTypes">classpath:allowedTypes.txt</param> </interceptor> ... </interceptors> ``` 这里，`<param name="allowedTypes">classpath:allowedTypes.txt</param>` 指定了 MIME 类型检查使用的配置文件路径。 除了 `allowedTypes.txt` 配置之外，还可以在 Action 配置中指定允许的文件类型，覆盖全局设置： ```xml <action ...> <interceptor-ref name="fileUpload"> <param name="allowedTypes">image/jpeg,image/png</param> </interceptor-ref> ... </action> ``` 这种方式更加灵活，可以针对不同的 Action 或者 Action 方法设置不同的文件类型限制。 需要注意的是，虽然 `allowedTypes.txt` 提供了一层安全保护，但并不是绝对安全的。攻击者可能会篡改文件扩展名或者伪造 MIME 类型来绕过检查。因此，除了在客户端进行验证外，服务器端也需要进行严格的文件类型和内容检查，以确保系统的安全性。 `allowedTypes.txt` 是 Struts2 文件上传功能的一个重要组成部分，它帮助开发者限制了可上传文件的类型，从而降低了恶意文件上传的风险。正确理解和使用这一配置，对于构建安全的 Web 应用至关重要。"