ASP.NET Core 用 IFormFile 接收图片需控制器参数为 IFormFile 类型、表单设 enctype=”multipart/form-data”,并校验文件头、大小、扩展名,安全命名后存至 wwwroot 或配置静态文件服务。
ASP.NET Core 中用 IFormFile 接收上传的图片
核心是 后端 控制器里接收 IFormFile 类型参数,不是直接读取 Request.Form 或尝试解析 raw body。MVC 框架会自动绑定 multipart/form-data 请求中的文件字段。
常见错误:把参数写成 string file 或 byte[] file,结果始终为 null;或漏掉 前端 表单的 enctype="multipart/form-data",导致文件根本没发过来。
- 控制器方法必须是
POST,且参数类型为IFormFile(单文件)或IList(多文件) - 确保
Startup.cs或Program.cs中已调用services.AddControllersWithViews()(默认已启用文件绑定) - 若上传大图,需在
appsettings.json中配置Kestrel的请求体大小限制,例如:"Kestrel": {"Limits": { "MaxRequestBodySize": 104857600} }
验证图片格式和尺寸再保存
不能只靠前端 做校验——它可被绕过。后端必须检查文件头(magic number)和扩展名是否匹配,否则可能传入伪装成 JPG 的 WebShell。
关键点:别用 Path.GetExtension(file.FileName) 判断类型,攻击者可改后缀;要用 file.ContentType 结合二进制头校验。
-
file.ContentType可能被伪造,仅作参考;必须读取前几个 字节 比对,如 JPG 是0xFF, 0xD8,PNG 是0x89, 0x50, 0x4E, 0x47 - 用
file.Length限制大小(比如 ≤5MB),避免内存爆满 - 生成安全文件名:用
Path.GetRandomFileName()+ 固定扩展名(如.jpg),不要保留原始file.FileName
保存到 wwwroot 或独立存储目录
直接存到 wwwroot/images/ 最简单,但要注意权限和清理问题;存到外部路径(如 D:uploads)则需额外配置静态文件中间件映射访问路径。
容易踩的坑:用 Directory.GetCurrentDirectory() 拼路径,结果保存到了 bin/Debug 下,而非项目根目录;或者忘了在 Program.cs 中调用 app.UseStaticFiles() 导致图片 URL 404。
- 推荐用
IWebHostEnvironment.WebRootPath获取wwwroot物理路径 - 保存前务必创建目标目录:
Directory.CreateDirectory(uploadPath) - 若存到非
wwwroot,需手动添加静态文件服务:app.UseStaticFiles(new StaticFileOptions { FileProvider = new PhysicalFileProvider(@"D:uploads"), RequestPath = "/uploads" });
返回 JSON 响应并处理前端错误
前端 JS 通常用 fetch 或 axios 上传,后端返回结构化 JSON(如 {success: true, url: "/images/abc.jpg"}),而不是重定向或视图。
常见疏漏:没设 CORS 头导致 跨域 失败;或上传失败时返回 500 却没给具体错误信息,前端只能显示“上传失败”。
- 统一返回
Ok(new { success = true, url = $"/images/{savedName}" })或BadRequest(new { error = "不支持的图片格式"}) - 若用 jQuery,注意
contentType: false和processData: false必须设为false,否则 FormData 被破坏 - CORS 配置要允许
Content-Type和X-Requested-With等上传所需 header
