Flask上传文件时如何限制文件类型和大小？

1. 基础概念：文件上传中的常见问题

在Flask应用中，文件上传功能虽然强大，但也可能带来安全和性能隐患。例如，用户可能会上传超大文件或非法格式的文件，这不仅会占用服务器资源，还可能导致恶意攻击。

• 服务器资源被占用：当上传超大文件时，服务器内存或磁盘空间可能被迅速耗尽。
• 恶意攻击风险：伪装成合法文件的恶意代码可能绕过简单的扩展名检查。

因此，在开发文件上传功能时，必须对文件大小和类型进行严格限制。

2. 技术实现：限制文件大小与类型

在Flask中，可以通过以下方式实现文件大小和类型的限制：

1. 限制文件大小：通过配置`MAX_CONTENT_LENGTH`来限制请求体的最大长度。
2. 检查文件扩展名：编写自定义函数验证文件扩展名是否符合要求。
3. 验证文件内容：确保上传的文件内容与声明的类型一致。

from flask import Flask, request, jsonify
import os

app = Flask(__name__)
app.config['MAX_CONTENT_LENGTH'] = 10 * 1024 * 1024  # 限制为10MB

def allowed_file(filename):
    ALLOWED_EXTENSIONS = {'jpg', 'png'}
    return '.' in filename and filename.rsplit('.', 1)[1].lower() in ALLOWED_EXTENSIONS

@app.route('/upload', methods=['POST'])
def upload_file():
    if 'file' not in request.files:
        return jsonify({'error': 'No file part'}), 400
    file = request.files['file']
    if file.filename == '':
        return jsonify({'error': 'No selected file'}), 400
    if file and allowed_file(file.filename):
        file.save(os.path.join('uploads', file.filename))
        return jsonify({'message': 'File uploaded successfully'}), 200
    return jsonify({'error': 'Invalid file type'}), 400
    

3. 深入分析：处理超出限制的情况

为了保证用户体验，开发者需要正确处理超出限制的错误响应。以下是常见的错误处理方式：

通过这种方式，用户可以清楚地了解问题所在，并根据提示调整上传内容。

4. 安全加固：防止伪装文件攻击

仅检查文件扩展名并不足以防止伪装文件攻击。开发者还需要对文件内容进行验证，以确保其真实类型与声明一致。

import imghdr

def validate_image(file):
    extension = file.filename.rsplit('.', 1)[1].lower()
    detected_type = imghdr.what(file)
    return detected_type == extension

@app.route('/upload', methods=['POST'])
def upload_file():
    # ... (保留之前的逻辑)
    if file and allowed_file(file.filename) and validate_image(file):
        file.save(os.path.join('uploads', file.filename))
        return jsonify({'message': 'File uploaded successfully'}), 200
    return jsonify({'error': 'Invalid file content'}), 400
    

通过结合`imghdr`模块或其他类似工具，可以进一步增强安全性。

5. 流程图：文件上传的整体流程

以上流程图展示了文件上传功能的完整逻辑，帮助开发者更好地理解各步骤的作用。