如果我支持 REST API 用户上传内容(主要是图像和视频),是吗?safe信任Content-Type
他们在(分段)上传中声明?或者我应该对内容运行某种“媒体类型检测”(例如使用 Apache Tika),以确保声明的媒体类型与检测到的实际媒体类型相对应?我引入此媒体类型检测步骤是否过于热心?
你当然不应该盲目相信Content-type
标头,或任何其他标头。这些信息应该用于告知您有关如何处理请求的决定。所以,Content-type: application/json
应该允许您将消息正文解释为 json 对象 - 然后这种请求可能会传递到 JSON 反序列化器以将其绑定到对象。
忽视这一点是错误的Content-type
header 只是因为请求正文包含以下数据looks就像别的东西一样。如果请求内部不一致,则应拒绝该请求。不发送是一回事Content-type
标头,但标头却是另一回事wrong.
因此,您可能想要使用某种自动检测的唯一情况应该是您没有有关内容的合理信息 - 或者Content-Type
非常通用(例如“/") 或根本不存在。在这种情况下,值得决定某种自动检测是否可能或有价值。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)