MIME 类型检查对文件上传没用？（特别是使用 Javascript File API）？

MIME类型检查对文件上传没有用，特别是使用Javascript File API？

在HTTP协议中，MIME类型（Multipurpose Internet Mail Extensions）用于描述文件的类型和编码。然而，MIME类型检查在防止文件上传漏洞方面并不十分有效，特别是使用Javascript File API。

这是因为在HTTP协议中，客户端上传的文件被浏览器视为一个二进制数据流，并且MIME类型被设置为application/octet-stream。这意味着服务器端无法准确识别上传的文件类型，因此无法进行有效的MIME类型检查。

即使使用Javascript File API，也无法在客户端进行有效的MIME类型检查。因为Javascript代码在浏览器中运行，而浏览器对上传的文件类型进行了限制。此外，浏览器对MIME类型的验证是客户端级别的，因此无法通过Javascript代码修改上传文件的MIME类型。

因此，防止文件上传漏洞的关键在于对上传的文件进行适当的验证和过滤，而不是依赖于MIME类型检查。在PHP中，可以使用$_FILES数组来获取上传的文件信息，并进行相应的验证和过滤。在HTML中，可以使用<input type="file">元素来让用户选择文件，并使用JavaScript来获取文件信息并进行相应的验证和过滤。