Struts2文件上传与安全控制详解

"在Struts2框架中处理文件上传和下载功能时，开发者需要关注多个关键点以确保安全性和用户体验。本文主要讲解如何实现文件类型过滤和防止恶意文件上传，例如阻止.exe等可能携带病毒的文件。首先，我们通过以下步骤来实现文件上传： 1. **手动实现文件过滤**：在Action类的execute方法中，首先定义一个`filterDocType`方法，该方法接受一个字符串数组，包含系统允许上传的文件类型（如`.jpg`, `.png`等）。在实际操作中，获取用户上传文件的MIME类型（如`fileType`），与允许类型数组进行比较。如果文件类型不在允许列表内，返回错误消息并停止上传过程。 ```java public String execute() throws Exception { // ...其他代码... if (filterResult != null) { // 文件类型不正确 ActionContext.getContext().put("typeError", "你要上传的文件类型不正确!"); return filterResult; } // ...文件上传处理... return this.SUCCESS; } public String filterDocType(String[] types) { String fileType = this.getUploadContentType(); for (String type : types) { if (type.equals(fileType)) { return null; // 文件类型允许，继续上传 } } return INPUT; // 文件类型不允许，返回错误提示 } private String allowType; public String getAllowType() { return allowType; } ``` 2. **文件大小控制**：除了文件类型外，还需要考虑文件大小限制。可以通过设置`MaxFileSize`属性或在Action配置中限制，防止过大文件导致性能问题或存储空间溢出。例如，在`struts.xml`文件中的`<fileUpload>`元素中添加`maxSize`属性： ```xml <fileUpload maxFileSize="50MB" /> <!-- 限制最大文件大小为50MB --> ``` 3. **文件名处理**：为了保持上传文件的可管理性，可以使用`getUploadFileName()`方法获取用户提供的文件名，并结合服务器保存路径生成完整的上传文件路径。 4. **文件流操作**：在执行文件上传时，创建服务器端的`FileOutputStream`和客户端的`FileInputStream`，然后逐字节读取上传文件内容并写入服务器。务必关闭流以释放资源。 5. **安全性注意事项**：确保服务器端的安全措施，例如检查上传文件的来源、使用安全的上传目录以及避免文件覆盖敏感信息。 Struts2文件上传和下载功能的实现涉及文件类型验证、大小限制、文件名管理和安全性考量等多个方面。通过合理的配置和代码实现，可以有效保护应用不受恶意文件攻击，并提供良好的用户体验。