アップロード前にJavaScriptを使用してファイルのMIMEタイプを確認する方法

177

私はこれこの質問を読みましたが、クライアント側でJavaScriptを使用してファイルのMIMEタイプを確認できることを示唆しているようです。現在、実際の検証はサーバー側で行う必要があることを理解しています。サーバーリソースの不要な浪費を避けるために、クライアント側のチェックを実行したいと思います。

これがクライアント側で実行できるかどうかをテストするために、JPEGテストファイルの拡張子をに変更し、.pngアップロードするファイルを選択しました。ファイルを送信する前に、JavaScriptコンソールを使用してファイルオブジェクトをクエリします。

document.getElementsByTagName('input')[0].files[0];

これは私がChrome 28.0で取得するものです:

ファイル{webkitRelativePath: ""、lastModifiedDate:Tue Oct 16 2012 10:00:00 GMT + 0000(UTC)、名前: "test.png"、タイプ: "image / png"、サイズ:500055…}

これはimage/png、MIMEタイプではなくファイル拡張子に基づいてチェックが行われたことを示すと思われるタイプを示します。Firefox 22.0を試しましたが、同じ結果が得られました。ただし、W3C仕様によると、MIMEスニッフィングを実装する必要があります。

現時点では、JavaScriptを使用してMIMEタイプを確認する方法がないと言ってもよろしいですか?それとも何か不足していますか?

javascript  html  file-upload  mime-types 
質問のオーバーフロー
ソース
5
I want to perform a client side checking to avoid unnecessary wastage of server resource.検証をサーバー側で行う必要があると言う理由がわかりませんが、サーバーリソースを減らしたいと言います。ゴールデンルール:ユーザー入力を信頼しない。サーバー側でMIMEタイプを確認するだけの場合、クライアント側でMIMEタイプを確認するポイントは何ですか。確かにそれは「クライアントリソースの不必要な浪費」でしょうか?
Ian Clark
7
より良いファイルタイプチェック/フィードバックをクライアント側のユーザーに提供することは良い考えです。ただし、既に述べたように、ブラウザtypeFileオブジェクトのプロパティの値を決定するときにファイル拡張子に依存します。たとえば、Webkitのソースコードはこの真実を明らかにします。特にファイル内の「マジックバイト」を探すことにより、クライアント側でファイルを正確に識別することが可能です。私は現在、まさにそれを行うMITライブラリに取り組んでいます。私の進歩に興味があるなら、github.com/rnicholus/determinaterを見てください
レイニコラス2013
32
@IanClark、要点は、ファイルのタイプが無効な場合、アップロード帯域幅を浪費してサーバー側で拒否するのではなく、クライアント側で拒否できることです。
質問のオーバーフロー
@RayNicholus、クールな男!時間があるときにそれを見ていきます。ありがとう:)
質問のオーバーフロー
テストファイルにmimetypeが含まれていることを確認しimage/jpeg、拡張子を変更して実際に変更していませんか?
ベルギ

回答:

342

FileReaderサーバーにアップロードする前に、JavaScriptでファイルのMIMEタイプを簡単に判別できます。クライアント側ではなくサーバー側のチェックを優先する必要があることに同意しますが、クライアント側のチェックは引き続き可能です。方法を示し、下部に実際に動作するデモを提供します。

お使いのブラウザがとの両方Fileをサポートしていることを確認してくださいBlob。すべての主要なものがすべきです。

if (window.FileReader && window.Blob) {
    // All the File APIs are supported.
} else {
    // File and Blob are not supported
}

ステップ1:

次のような要素Fileから情報を取得できます<input>ref):

<input type="file" id="your-files" multiple>
<script>
var control = document.getElementById("your-files");
control.addEventListener("change", function(event) {
    // When the control has changed, there are new files
    var files = control.files,
    for (var i = 0; i < files.length; i++) {
        console.log("Filename: " + files[i].name);
        console.log("Type: " + files[i].type);
        console.log("Size: " + files[i].size + " bytes");
    }
}, false);
</script>

上記のドラッグアンドドロップバージョンは次のとおりです(ref)。

<div id="your-files"></div>
<script>
var target = document.getElementById("your-files");
target.addEventListener("dragover", function(event) {
    event.preventDefault();
}, false);

target.addEventListener("drop", function(event) {
    // Cancel default actions
    event.preventDefault();
    var files = event.dataTransfer.files,
    for (var i = 0; i < files.length; i++) {
        console.log("Filename: " + files[i].name);
        console.log("Type: " + files[i].type);
        console.log("Size: " + files[i].size + " bytes");
    }
}, false);
</script>

ステップ2:

ファイルを検査して、ヘッダーとMIMEタイプを抽出できます。

✘クイックメソッド

次のパターンを使用して、Blobが表すファイルのMIMEタイプを単純にBlobに要求できます。

var blob = files[i]; // See step 1 above
console.log(blob.type);

画像の場合、MIMEタイプは次のように返されます。

image / jpeg
image / png
...

警告: MIMEタイプはファイル拡張子から検出され、だまされたり偽装されたりする可能性があります。aの名前をa .jpgに変更する.pngと、MIMEタイプはとして報告されimage/pngます。

✓適切なヘッダー検査方法

クライアントサイドファイルの真のMIMEタイプを取得するには、さらに進んで、所与のファイルの最初の数バイトを検査して、いわゆるマジックナンバーと比較します。たとえば、JPEGにはいくつかの「マジックナンバー」があるため、完全に単純ではないことに注意してください。これは、フォーマットが1991年から進化しているためです。最初の2バイトのみをチェックしても問題はないかもしれませんが、誤検知を減らすために少なくとも4バイトをチェックすることをお勧めします。

JPEGのファイル署名の例(最初の4バイト):

FF D8 FF E0(SOI + ADD0)
FF D8 FF E1(SOI + ADD1)
FF D8 FF E2(SOI + ADD2)

ファイルヘッダーを取得するための重要なコードを次に示します。

var blob = files[i]; // See step 1 above
var fileReader = new FileReader();
fileReader.onloadend = function(e) {
  var arr = (new Uint8Array(e.target.result)).subarray(0, 4);
  var header = "";
  for(var i = 0; i < arr.length; i++) {
     header += arr[i].toString(16);
  }
  console.log(header);

  // Check the file signature against known types

};
fileReader.readAsArrayBuffer(blob);

そうすれば、実際のMIMEタイプを次のように判別できます(ここここでファイル署名を追加します)。

switch (header) {
    case "89504e47":
        type = "image/png";
        break;
    case "47494638":
        type = "image/gif";
        break;
    case "ffd8ffe0":
    case "ffd8ffe1":
    case "ffd8ffe2":
    case "ffd8ffe3":
    case "ffd8ffe8":
        type = "image/jpeg";
        break;
    default:
        type = "unknown"; // Or you can use the blob.type as fallback
        break;
}

予想されるMIMEタイプに基づいて、ファイルのアップロードを希望どおりに受け入れるか拒否します。

デモ

これは、ローカルファイルリモートファイルの動作するデモです(このデモのためにCORSをバイパスする必要がありました)。スニペットを開いて実行すると、異なるタイプの3つのリモートイメージが表示されます。上部でローカルの画像またはデータファイルを選択でき、ファイルの署名やMIMEタイプが表示されます。

画像の名前が変更されても、その真のMIMEタイプを判別できることに注意してください。下記参照。

スクリーンショット

期待されるデモの出力

コードスニペットを表示

ドレイク
ソース
8
2つのマイナーなコメント。(1)読み取る前に、ファイルを最初の4バイトにスライスする方がよいのではないでしょうか。fileReader.readAsArrayBuffer(blob.slice(0,4))?(2)ファイルの署名をコピーして貼り付けるために、ヘッダーを先頭に0を付けて作成しないでください for(var i = 0; i < bytes.length; i++) { var byte = bytes[i]; fileSignature += (byte < 10 ? "0" : "") + byte.toString(16); }
Matthew Madson、2015
1
@Deadpoolこちらをご覧ください。さまざまなメーカーのJPEG形式が多く、あまり一般的ではありません。たとえば、FF D8 FF E2= CANNON EOS JPEGファイル、FF D8 FF E3= SAMSUNG D500 JPEGファイル。JPEG署名の重要な部分は2バイトのみですが、誤検知を減らすために、最も一般的な4バイトの署名を追加しました。お役に立てば幸いです。
Drakes、2015年
23
この回答の質は驚くべきものです。
Luca
2
mimeTypeを決定するために、ArrayBufferとして完全なblobをロードする必要はありません。あなただけのスライスをすることができますし、このように最初のブロブの4つのバイトを渡す:fileReader.readAsArrayBuffer(blob.slice(0, 4))
codeVerine
2
プレーンテキストのみを許可するためのチェックは何ですか?テキストファイルの最初の4バイトは、テキストファイルの最初の4文字のようです。
MPドロイド2018年
19

他の回答で述べたように、ファイルの最初のバイトにあるファイルの署名を確認することで、mimeタイプを確認できます。

しかし、他の答えは、署名をチェックするためにメモリ全体にファイル全体をロードすることです。これは非常に無駄であり、誤って大きなファイルを選択した場合でも、ブラウザを簡単にフリーズさせる可能性があります。

/**
 * Load the mime type based on the signature of the first bytes of the file
 * @param  {File}   file        A instance of File
 * @param  {Function} callback  Callback with the result
 * @author Victor www.vitim.us
 * @date   2017-03-23
 */
function loadMime(file, callback) {
    
    //List of known mimes
    var mimes = [
        {
            mime: 'image/jpeg',
            pattern: [0xFF, 0xD8, 0xFF],
            mask: [0xFF, 0xFF, 0xFF],
        },
        {
            mime: 'image/png',
            pattern: [0x89, 0x50, 0x4E, 0x47],
            mask: [0xFF, 0xFF, 0xFF, 0xFF],
        }
        // you can expand this list @see https://mimesniff.spec.whatwg.org/#matching-an-image-type-pattern
    ];

    function check(bytes, mime) {
        for (var i = 0, l = mime.mask.length; i < l; ++i) {
            if ((bytes[i] & mime.mask[i]) - mime.pattern[i] !== 0) {
                return false;
            }
        }
        return true;
    }

    var blob = file.slice(0, 4); //read the first 4 bytes of the file

    var reader = new FileReader();
    reader.onloadend = function(e) {
        if (e.target.readyState === FileReader.DONE) {
            var bytes = new Uint8Array(e.target.result);

            for (var i=0, l = mimes.length; i<l; ++i) {
                if (check(bytes, mimes[i])) return callback("Mime: " + mimes[i].mime + " <br> Browser:" + file.type);
            }

            return callback("Mime: unknown <br> Browser:" + file.type);
        }
    };
    reader.readAsArrayBuffer(blob);
}


//when selecting a file on the input
fileInput.onchange = function() {
    loadMime(fileInput.files[0], function(mime) {

        //print the output to the screen
        output.innerHTML = mime;
    });
};
<input type="file" id="fileInput">
<div id="output"></div>
スニペットを展開

Vitim.us
ソース
エラーが発生した場合でも、readyState常にFileReader.DONEイベントハンドラー(W3C仕様)にあると思います(!e.target.error)。代わりにチェックを行うべきではありませんか?
ボイシー2018年
5

これを自分で実装しないことを検討している人のために、Sindresorhusはブラウザーで機能するユーティリティを作成し、必要なほとんどのドキュメントのヘッダーからMIMEへのマッピングを用意しています。

https://github.com/sindresorhus/file-type

最初のXバイトのみを読み取るというVitim.usの提案を組み合わせて、このユーティリティを使用してすべてをメモリにロードしないようにすることができます(es6の例):

import fileType from 'file-type'; // or wherever you load the dependency

const blob = file.slice(0, fileType.minimumBytes);

const reader = new FileReader();
reader.onloadend = function(e) {
  if (e.target.readyState !== FileReader.DONE) {
    return;
  }

  const bytes = new Uint8Array(e.target.result);
  const { ext, mime } = fileType.fromBuffer(bytes);

  // ext is the desired extension and mime is the mimetype
};
reader.readAsArrayBuffer(blob);
ビナイ
ソース
私にとって、ライブラリの最新バージョンは機能しませんでしたが、"file-type": "12.4.0"機能し、使用しなければなりませんでしたimport * as fileType from "file-type";
ssz
4

アップロードされたファイルが画像であるかどうかを確認したいだけの場合は、<img>エラーコールバックのチェックにタグを付けてロードすることができます。

例:

var input = document.getElementsByTagName('input')[0];
var reader = new FileReader();

reader.onload = function (e) {
    imageExists(e.target.result, function(exists){
        if (exists) {

            // Do something with the image file.. 

        } else {

            // different file format

        }
    });
};

reader.readAsDataURL(input.files[0]);


function imageExists(url, callback) {
    var img = new Image();
    img.onload = function() { callback(true); };
    img.onerror = function() { callback(false); };
    img.src = url;
}
ロベルト14
ソース
1
うまく機能しました。.gifファイルアップローダーのハックを試しましたが、エラーが発生しました:)
pathfinder
4

これはあなたがしなければならないことです

var fileVariable =document.getElementsById('fileId').files[0];

画像ファイルの種類を確認したい場合

if(fileVariable.type.match('image.*'))
{
 alert('its an image');
}
カイラス
ソース
現在は機能しません:Android版Firefox、Android版Opera、iOS版Safari。 developer.mozilla.org/en-US/docs/Web/API/File/type
Reid
3

以下は、webpをサポートするTypescriptの実装です。これは、Vitim.usによるJavaScriptの回答に基づいています。

interface Mime {
  mime: string;
  pattern: (number | undefined)[];
}

// tslint:disable number-literal-format
// tslint:disable no-magic-numbers
const imageMimes: Mime[] = [
  {
    mime: 'image/png',
    pattern: [0x89, 0x50, 0x4e, 0x47]
  },
  {
    mime: 'image/jpeg',
    pattern: [0xff, 0xd8, 0xff]
  },
  {
    mime: 'image/gif',
    pattern: [0x47, 0x49, 0x46, 0x38]
  },
  {
    mime: 'image/webp',
    pattern: [0x52, 0x49, 0x46, 0x46, undefined, undefined, undefined, undefined, 0x57, 0x45, 0x42, 0x50, 0x56, 0x50],
  }
  // You can expand this list @see https://mimesniff.spec.whatwg.org/#matching-an-image-type-pattern
];
// tslint:enable no-magic-numbers
// tslint:enable number-literal-format

function isMime(bytes: Uint8Array, mime: Mime): boolean {
  return mime.pattern.every((p, i) => !p || bytes[i] === p);
}

function validateImageMimeType(file: File, callback: (b: boolean) => void) {
  const numBytesNeeded = Math.max(...imageMimes.map(m => m.pattern.length));
  const blob = file.slice(0, numBytesNeeded); // Read the needed bytes of the file

  const fileReader = new FileReader();

  fileReader.onloadend = e => {
    if (!e || !fileReader.result) return;

    const bytes = new Uint8Array(fileReader.result as ArrayBuffer);

    const valid = imageMimes.some(mime => isMime(bytes, mime));

    callback(valid);
  };

  fileReader.readAsArrayBuffer(blob);
}

// When selecting a file on the input
fileInput.onchange = () => {
  const file = fileInput.files && fileInput.files[0];
  if (!file) return;

  validateImageMimeType(file, valid => {
    if (!valid) {
      alert('Not a valid image file.');
    }
  });
};

<input type="file" id="fileInput">
スニペットを展開

エリッククルサード
ソース
1

Drakeが述べているように、これはFileReaderで実行できます。ただし、ここで紹介するのは機能バージョンです。JavaScriptでこれを行う場合の大きな問題は、入力ファイルをリセットすることであることを考慮してください。まあ、これはJPGのみに制限されます(他のフォーマットの場合、mimeタイプマジックナンバーを変更する必要があります):

<form id="form-id">
  <input type="file" id="input-id" accept="image/jpeg"/>
</form>

<script type="text/javascript">
    $(function(){
        $("#input-id").on('change', function(event) {
            var file = event.target.files[0];
            if(file.size>=2*1024*1024) {
                alert("JPG images of maximum 2MB");
                $("#form-id").get(0).reset(); //the tricky part is to "empty" the input file here I reset the form.
                return;
            }

            if(!file.type.match('image/jp.*')) {
                alert("only JPG images");
                $("#form-id").get(0).reset(); //the tricky part is to "empty" the input file here I reset the form.
                return;
            }

            var fileReader = new FileReader();
            fileReader.onload = function(e) {
                var int32View = new Uint8Array(e.target.result);
                //verify the magic number
                // for JPG is 0xFF 0xD8 0xFF 0xE0 (see https://en.wikipedia.org/wiki/List_of_file_signatures)
                if(int32View.length>4 && int32View[0]==0xFF && int32View[1]==0xD8 && int32View[2]==0xFF && int32View[3]==0xE0) {
                    alert("ok!");
                } else {
                    alert("only valid JPG images");
                    $("#form-id").get(0).reset(); //the tricky part is to "empty" the input file here I reset the form.
                    return;
                }
            };
            fileReader.readAsArrayBuffer(file);
        });
    });
</script>

これがFirefoxとChromeの最新バージョン、およびIExplore 10でテストされたことを考慮してください。

MIMEタイプの完全なリストについては、Wikipediaを参照してください

マジックナンバーの完全なリストについては、ウィキペディアを参照してください

イミゲルム
ソース
上記のウィキペディアのリンクは無効になりました。
Bob Quinn
@BobQuinn修正、ありがとう
lmiguelmh
0

以下は、Roberto14の回答を拡張したものです。

これは画像のみを許可します

FileReaderが使用可能かどうかを確認し、使用可能でない場合は拡張機能の確認にフォールバックします。

画像でない場合はエラー警告を表示します

画像の場合、プレビューを読み込みます

**サーバー側の検証を行う必要があります。これは、エンドユーザーにとって何よりも便利です。しかし、それは便利です!

<form id="myform">
    <input type="file" id="myimage" onchange="readURL(this)" />
    <img id="preview" src="#" alt="Image Preview" />
</form>

<script>
function readURL(input) {
    if (window.FileReader && window.Blob) {
        if (input.files && input.files[0]) {
            var reader = new FileReader();
            reader.onload = function (e) {
                var img = new Image();
                img.onload = function() {
                    var preview = document.getElementById('preview');
                    preview.src = e.target.result;
                    };
                img.onerror = function() { 
                    alert('error');
                    input.value = '';
                    };
                img.src = e.target.result;
                }
            reader.readAsDataURL(input.files[0]);
            }
        }
    else {
        var ext = input.value.split('.');
        ext = ext[ext.length-1].toLowerCase();      
        var arrayExtensions = ['jpg' , 'jpeg', 'png', 'bmp', 'gif'];
        if (arrayExtensions.lastIndexOf(ext) == -1) {
            alert('error');
            input.value = '';
            }
        else {
            var preview = document.getElementById('preview');
            preview.setAttribute('alt', 'Browser does not support preview.');
            }
        }
    }
</script>
パスファインダー
ソース
-1

短い答えはノーです。

お気づきのように、ブラウザtypeはファイル拡張子から派生しています。Macプレビューも拡張機能を実行していないようです。ディスク上でファイルを検索して読み取るのではなく、ポインタに含まれるファイル名をより速く読み取ることができるためです。

pngに名前を変更したjpgのコピーを作成しました。

私は常にクロムの両方の画像から次のものを得ることができました(最新のブラウザで動作するはずです)。

ÿØÿàJFIFÿþ;CREATOR: gd-jpeg v1.0 (using IJG JPEG v62), quality = 90

String.indexOf( 'jpeg')チェックをハックアウトして画像のタイプを確認できます。

これはhttp://jsfiddle.net/bamboo/jkZ2v/1/を探るフィドルです

例でコメントするのを忘れた曖昧な行

console.log( /^(.*)$/m.exec(window.atob( image.src.split(',')[1] )) );

  • base64でエンコードされたimgデータを分割し、画像に残します
  • Base64が画像をデコードする
  • 画像データの最初の行のみに一致します

フィドルコードはIEで動作することをIE9で文句を言わない仕事は、私はVBスクリプトを使用して素敵な例を見つけたBASE64デコードを使用していますhttp://blog.nihilogic.dk/2008/08/imageinfo-reading-image-metadata-with.html

画像をロードするためのコードは、アップロード前にクライアント側で画像キャンバスのサイズ変更を行うクールな画像キャンバスを実行しているJoel Vardyから取得されました。https://joelvardy.com/writing/javascript-image-upload

レックス
ソース
1
JPEGで「jpeg」サブストリングを検索しないでください。コメントで見つけたのは単なる偶然です。JPEGファイルにこれを含める必要はありません(JFIF代わりに検索を考えている場合はAPP0、EXIF-JPEGにJFIFを含める必要がないため、これも不要です)。
Kornel 2014
トップ「短い答えはノー」を参照してください。
レックス、2014
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.