隨着技術的發展,ASP.NET Core MVC也推出了好長時間,經過不斷的版本更新迭代,已經越來越完善,本系列文章主要講解ASP.NET Core MVC開發B/S系統過程中所涉及到的相關內容,適用於初學者,在校畢業生,或其他想從事ASP.NET Core MVC 系統開發的人員。 經過前幾篇文章的講解,初步瞭解ASP.NET Core MVC項目創建,啓動運行,以及命名約定,創建控制器,視圖,模型,接收參數,傳遞數據ViewData,ViewBag,路由,頁面佈局,wwwroot和客戶端庫,Razor語法,EnityFrameworkCore與數據庫,HttpContext,Request,Response,Session,序列化等內容,今天繼續講解ASP.NET Core MVC 中文件上傳等相關內容,僅供學習分享使用。
概述
在實際應用開發中,文件上傳是非常常見的功能,文件上傳主要分爲單文件上傳,多文件上傳,文件與其他內容混合上傳,大文件上傳幾種情況,本文會分別講解。
IFormFile
在ASP.NET Core MVC項目中,IFormFile表示使用 HttpRequest 發送的文件,可以用於文件流的接收。將整個文件讀入 IFormFile。 IFormFile 是用於處理或保存文件的文件的 C# 表示形式。
文件上傳使用的磁盤和內存取決於併發文件上傳的數量和大小。 如果應用嘗試緩衝過多上傳,站點就會在內存或磁盤空間不足時崩潰。 如果文件上傳的大小或頻率會消耗應用資源,請使用流式傳輸。
IFormFile的屬性和方法如下:
對於小文件的上傳,一般採用IFormFile;大文件上傳,採用流式上傳,已實現可靠穩定傳輸。
IWebHostEnvironment 站點環境信息,用於獲取站點根目錄等內容。
單個文件上傳
單文件上傳功能主要分爲兩部分:文件上傳視圖和後臺處理方法。
1. 文件上傳視圖
首先創建視圖,用於單個文件上傳。關於視圖有兩點說明,如下所示:
- 文件上傳通過form表單,採用post方式,加密類型爲multipart/form-data
- 文件上傳採用input控件,類型爲file。
視圖代碼如下所示:
1 <form method="post" enctype="multipart/form-data" action="/File/OneFileUpload"> 2 <h1>單文件上傳</h1> 3 <div> 4 <span>文件:</span> 5 <input type="file" name="file" /> 6 </div> 7 <input type="submit" value="上傳" /> 8 </form>
2. 後臺處理方法
form提交後臺處理方法OneFileUpload,關於處理方法有幾點說明,如下所示:
- 方法中的參數IFormFile file用於接收客戶端上傳的文件,其他file和視圖中上傳控件的name一一對應。如果錯誤,則無法上傳。
- _webHostEnvironment 爲控制器通過接口注入的IWebHostEnvironment類型的獲取站點信息接口,主要用於獲取站點根目錄。
- 調用IFormFile的CopyTo方法進行保存,此方法接收Stream類型的參數。
上傳處理代碼,如下所示:
1 /// <summary> 2 /// 單文件上傳 3 /// </summary> 4 /// <returns></returns> 5 public IActionResult OneFileUpload(IFormFile file) 6 { 7 var path = Path.Combine(_webHostEnvironment.ContentRootPath, "uploads", string.Format("{0}_{1}", DateTime.Now.Ticks, file.FileName)); 8 using (FileStream fs = new FileStream(path, FileMode.Create)) 9 { 10 file.CopyTo(fs); 11 } 12 return Ok("上傳成功"); 13 }
多文件上傳
多文件上傳表示一次可以上傳多個文件。。上傳功能主要分爲兩部分:文件上傳視圖和後臺處理方法。
1. 多文件上傳視圖
input控件在類型爲file時表示文件上傳,默認是單個文件上傳,通過設置multiple屬性,可實現多文件上傳。視圖代碼如下所示:
1 <form method="post" enctype="multipart/form-data" action="/File/MoreFileUpload"> 2 <h1>多文件上傳</h1> 3 <div> 4 <span>文件:</span> 5 <input type="file" name="files" multiple /> 6 </div> 7 <input type="submit" value="上傳" /> 8 </form>
2. 多文件後臺處理方法
多個文件上傳,參數爲IFormFile數組類型,可以接受上傳文件列表,然後循環獲取並進行保存即可。如下所示:
1 /// <summary> 2 /// 多文件上傳 3 /// </summary> 4 /// <returns></returns> 5 public IActionResult MoreFileUpload(IFormFile[] files) 6 { 7 foreach (var file in files) 8 { 9 var path = Path.Combine(_webHostEnvironment.ContentRootPath, "uploads", string.Format("{0}_{1}", DateTime.Now.Ticks, file.FileName)); 10 using (FileStream fs = new FileStream(path, FileMode.Create)) 11 { 12 file.CopyTo(fs); 13 } 14 } 15 16 return Ok("上傳成功"); 17 }
文件文本混合上傳
在實際應用中,文件上傳只是一部分,還需要搭配其他的文本說明,如錄入產品信息,並上傳附件等。
1. 創建模型
在Product中,包含兩個屬性,一個字符串類型的Name,用於綁定名稱,一個IFormFile類型的File,用於上傳文件。如下所示:
1 namespace DemoCoreMVC.Models 2 { 3 public class Product 4 { 5 public string Name { get; set; } 6 7 public IFormFile File { get; set; } 8 } 9 }
2. 視圖綁定模型
在視圖最頂部,爲視圖指定模型,如下所示:
1 @model DemoCoreMVC.Models.Product
3. 混合文本文件上傳視圖
在form表單中,除了文件上傳控件,還有一個文件框,用於輸入名稱。其中控件name和模型相對應。如下所示:
1 <form method="post" enctype="multipart/form-data" action="/File/FileWithContentUpload"> 2 <h1>文件,文本混合上傳</h1> 3 <div> 4 <span>名稱:</span> 5 <input type="text" name="Name" /> 6 </div> 7 <div> 8 <span>文件:</span> 9 <input type="file" name="File" /> 10 </div> 11 <input type="submit" value="上傳" /> 12 </form>
4. 後臺處理方法
文件文本混合上傳,參數爲模型Product,通過屬性匹配接收參數,然後獲取屬性File對應的內存流進行保存即可。如下所示:
1 /// <summary> 2 /// 文件內容混合上傳 3 /// </summary> 4 /// <returns></returns> 5 public IActionResult FileWithContentUpload(Product product) 6 { 7 var file = product.File; 8 var path = Path.Combine(_webHostEnvironment.ContentRootPath, "uploads", string.Format("{0}_{1}", DateTime.Now.Ticks, file.FileName)); 9 using (FileStream fs = new FileStream(path, FileMode.Create)) 10 { 11 file.CopyTo(fs); 12 } 13 return Ok($"{product.Name} 上傳成功"); 14 }
大文件上傳
首先如何界定大文件/小文件,並沒有統一的標準。根據官網相關參數說明:
- 默認情況下, HttpRequest.Form 不會緩衝整個請求正文 (BufferBody) ,但會緩衝包含的任何多部分表單文件。
- MultipartBodyLengthLimit 是緩衝表單文件的最大大小,默認值爲 128MB。
- MemoryBufferThreshold 指示在轉換爲磁盤上的緩衝區文件之前,內存中的文件緩衝量,默認爲 64KB。
MemoryBufferThreshold充當小型和大型文件之間的邊界,這些文件根據應用資源和方案而引發或降低。
大文件上傳採用流式傳輸,可降低上傳文件時對內存或磁盤空間的需求。
1. 創建視圖
大文件和小文件上傳在視圖上並無差別,只是後臺處理方法不同,如下所示:
1 <form method="post" enctype="multipart/form-data" action="/File/BigFileUpload"> 2 <h1>大文件上傳</h1> 3 <div> 4 <span>文件:</span> 5 <input type="file" name="file" /> 6 </div> 7 <input type="submit" value="上傳" /> 8 </form>
2. 後臺處理方法
首先創建大文件上傳幫助類MultipartRequestHelper,如下所示:
1 using System; 2 using System.IO; 3 using Microsoft.Net.Http.Headers; 4 namespace DemoCoreMVC 5 { 6 public static class MultipartRequestHelper 7 { 8 // Content-Type: multipart/form-data; boundary="----WebKitFormBoundarymx2fSWqWSd0OxQqq" 9 public static string GetBoundary(MediaTypeHeaderValue contentType, int lengthLimit) 10 { 11 var boundary = HeaderUtilities.RemoveQuotes(contentType.Boundary).Value; 12 13 if (string.IsNullOrWhiteSpace(boundary)) 14 { 15 throw new InvalidDataException("Missing content-type boundary."); 16 } 17 18 if (boundary.Length > lengthLimit) 19 { 20 throw new InvalidDataException( 21 $"Multipart boundary length limit {lengthLimit} exceeded."); 22 } 23 24 return boundary; 25 } 26 27 public static bool IsMultipartContentType(string contentType) 28 { 29 return !string.IsNullOrEmpty(contentType) 30 && contentType.IndexOf("multipart/", StringComparison.OrdinalIgnoreCase) >= 0; 31 } 32 33 public static bool HasFileContentDisposition(ContentDispositionHeaderValue contentDisposition) 34 { 35 // Content-Disposition: form-data; name="myfile1"; filename="Misc 002.jpg" 36 return contentDisposition != null 37 && contentDisposition.DispositionType.Equals("form-data") 38 && (!string.IsNullOrEmpty(contentDisposition.FileName.Value) 39 || !string.IsNullOrEmpty(contentDisposition.FileNameStar.Value)); 40 } 41 42 // 如果一個section的Header是: Content-Disposition: form-data; name="myfile1"; filename="F:\Misc 002.jpg" 43 // 那麼本方法返回: Misc 002.jpg 44 public static string GetFileName(ContentDispositionHeaderValue contentDisposition) 45 { 46 return Path.GetFileName(contentDisposition.FileName.Value); 47 } 48 49 } 50 }
處理方法BigFileUploadAsync,關於Action說明,如下所示:
Action中要進行DisableRequestSizeLimit特性說明,否則會有大小限制【InvalidDataException: Multipart body length limit 16384 exceeded】。
在該操作中,使用 MultipartReader 讀取窗體的內容,它會讀取每個單獨的 MultipartSection,從而根據需要處理文件或存儲內容。 讀取多部分節後,該操作會執行自己的模型綁定。
1 /// <summary> 2 /// 大文件上傳 3 /// </summary> 4 /// <returns></returns> 5 [DisableRequestSizeLimit] 6 public async Task<IActionResult> BigFileUploadAsync() 7 { 8 var contentType = Request.ContentType; 9 if (!MultipartRequestHelper.IsMultipartContentType(contentType)) 10 { 11 ModelState.AddModelError("File", 12 $"上傳文件類型不對."); 13 return BadRequest(ModelState); 14 } 15 var path = Path.Combine(_webHostEnvironment.ContentRootPath, "uploads"); 16 17 var boundary = MultipartRequestHelper.GetBoundary(MediaTypeHeaderValue.Parse(Request.ContentType), _defaultFormOptions.MultipartBoundaryLengthLimit); 18 19 var reader = new MultipartReader(boundary, HttpContext.Request.Body); 20 21 var section = await reader.ReadNextSectionAsync(); 22 23 while (section != null) 24 { 25 var hasContentDispositionHeader = 26 ContentDispositionHeaderValue.TryParse( 27 section.ContentDisposition, out var contentDisposition); 28 29 if (hasContentDispositionHeader) 30 { 31 if (!MultipartRequestHelper.HasFileContentDisposition(contentDisposition)) 32 { 33 ModelState.AddModelError("File", 34 $"The request couldn't be processed (Error 2)."); 35 36 return BadRequest(ModelState); 37 } 38 else 39 { 40 var fileName = MultipartRequestHelper.GetFileName(contentDisposition); 41 var loadBufferBytes = 1024;//這個是每一次從Http請求的section中讀出文件數據的大小,單位是Byte即字節,這裏設置爲1024的意思是,每次從Http請求的section數據流中讀取出1024字節的數據到服務器內存中,然後寫入下面targetFileStream的文件流中,可以根據服務器的內存大小調整這個值。這樣就避免了一次加載所有上傳文件的數據到服務器內存中,導致服務器崩潰。 42 43 using (var targetFileStream = new FileStream(path + "\\" + string.Format("{0}_{1}", DateTime.Now.Ticks, fileName), FileMode.Create, FileAccess.ReadWrite)) 44 { 45 using (section.Body) 46 { 47 //section.Body是System.IO.Stream類型,表示的是Http請求中一個section的數據流,從該數據流中可以讀出每一個section的全部數據,所以我們下面也可以不用section.Body.CopyToAsync方法,而是在一個循環中用section.Body.Read方法自己讀出數據(如果section.Body.Read方法返回0,表示數據流已經到末尾,數據已經全部都讀取完了),再將數據寫入到targetFileStream 48 await section.Body.CopyToAsync(targetFileStream, loadBufferBytes); 49 } 50 } 51 } 52 } 53 section = await reader.ReadNextSectionAsync(); 54 } 55 return Ok("上傳成功"); 56 }
注意:在文件上傳功能中,上傳後的文件一般都要進行重命名的,否則如何客戶端上傳相同名稱的文件,則可能會被覆蓋。在本例中,在原文件前面加上了時間戳,以減少重複的概率。
文件上傳校驗
在實際開發中,爲了避免客戶端上傳不滿足條件的文件,一般都會進行校驗。
- 文件擴展名驗證:應在允許的擴展名列表中查找上傳的文件的擴展名。
- 文件簽名驗證:文件的簽名由文件開頭部分中的前幾個字節確定。 可以使用這些字節指示擴展名是否與文件內容匹配。 示例應用檢查一些常見文件類型的文件簽名。
- 文件名安全:切勿使用客戶端提供的文件名來將文件保存到物理存儲。
- 文件大小驗證:限制上傳的文件的大小。
文件上傳安全
爲避免文件上傳功能造成攻擊可能性,常規安全措施如下:
- 將文件上傳到專用文件上傳區域,最好是非系統驅動器。 使用專用位置便於對上傳的文件實施安全限制。 禁用對文件上傳位置的執行權限。
- 請勿將上傳的文件保存在與應用相同的目錄樹中。
- 使用應用確定的安全的文件名。 請勿使用用戶提供的文件名或上傳的文件的不受信任的文件名。† 當顯示不受信任的文件名時 HTML 會對它進行編碼。 例如,記錄文件名或在 UI 中顯示(Razor 自動對輸出進行 HTML 編碼)。
- 按照應用的設計規範,僅允許已批准的文件擴展名。
- 驗證是否對服務器執行客戶端檢查。† 客戶端檢查易於規避。
- 檢查已上傳文件的大小。 設置一個大小上限以防止上傳大型文件。
- 文件不應該被具有相同名稱的上傳文件覆蓋時,先在數據庫或物理存儲上檢查文件名,然後再上傳文件。
- 先對上傳的內容運行病毒/惡意軟件掃描程序,然後再存儲文件。
參考文章
本篇文章主要參考內容如下:
1. 官方文檔:https://learn.microsoft.com/zh-cn/aspnet/core/mvc/models/file-uploads?view=aspnetcore-6.0
以上就是ASP.NET Core MVC從入門到精通之文件上傳的全部內容。