Problem
Trong quá trình làm việc với các team dự án, mình thấy một chức năng khá phổ biến là upload file (video, ảnh, pdf…). Chắc chắn đi cùng với chức năng này chúng ta cần đảm bảo validate (kiểm tra) các điều kiện cho đúng. 1 trong những điều kiện validation cần có chính là giới hạn loại file mà bạn cho phép Upload. Bạn có thể thực hiện validate ở backend hoặc frontend (phụ thuộc bạn thực hiện upload file ở client side hay backend side).
Vậy vấn đề ở đây là gì, qua quá trình review qua vài dự án đã từng làm, việc các team thực hiện validate giới hạn loại file có vẻ đang không hiệu quả. Thưởng các team đó sẽ kiểm tra extension hoặc mime type của file. Các thông tin này đôi khi là không chính xác ở chỗ chúng ta có thể fake được. => Đây là giải pháp không tốt.
Nên hôm nay có google n bài để sưu tầm cho anh em tham khảo:
- File Signature: https://en.wikipedia.org/wiki/List_of_file_signatures
- Library: https://github.com/SoftCreatR/php-mime-detector, https://www.npmjs.com/package/file-type?fbclid=IwAR3i5nwRYftwl6fokicIDjTGPNhUYEzrl4JwSvnzSP8UJj2gTOjYMRO44CE
- Practice: https://medium.com/the-everyday-developer/detect-file-mime-type-using-magic-numbers-and-javascript-16bc513d4e1e#_=_
Solution
Giải pháp cho việc kiểm tra loại file mọi người có thể dựa vào Signatures của File. Cụ thể cách làm sẽ là thực hiện đọc vài byte đầu tiên (ở ví dụ dưới mình sẽ đọc 16 bytes). Chúng ta sẽ dựa vào chuỗi số đó để xác định đó là loại file nào. Mọi người có thể tham khảo từ https://en.wikipedia.org/wiki/List_of_file_signatures để xác định.
OK, vậy việc kiểm tra signature sẽ thực hiện ở đâu, ở backend hay client. Nó phụ thuộc vào bạn thực hiện upload file ở Backend Side hay Client Side. Ở bài này mình sẽ không so sánh giữa việc upload ở Backend Side hay Client Side.
- Việc upload lên Backend Side, có thể file được lưu trữ ở Server hoặc đẩy lên Cloud Storage (ví dụ AWS S3). Vậy thì việc kiểm tra signature sẽ nằm ở trên Backend rồi.
- Việc upload ở Client Side, ở đây hiểu là chúng ta upload trực tiếp từ Client Side lên các Cloud Storage. Ví dụ sử dụng PreSignUrl để upload trực tiếp lên AWS S3 thì mọi người có thể tham khảo bài này của mình nhé. (https://kipalog.kaopiz.com/posts/Upload-file-to-S3-client-side)
Practice
Kiểm tra ở Client Side: Sử dụng Javascript:
Chúng ta sử dụng FileReader để đọc các bytes của file nhé. Yên tâm là mình thấy library này cũng support gần hết các browser rồi. AE tra ở https://caniuse.com/filereader nhé.
Chúng ta cần làm các steps sau:
- Cần tạo 1 giao diện upload file (người dùng chọn và thực hiện chọn file để upload)
- Code Javascript ở Client thực hiện cắt 4 bytes của file.
- Sử dụng FileReader đọc 4 bytes đó.
- Dựa vào File Signature để xác định loại file. => validate trực tiếp ở đây.
Lười code nên tham khảo luôn source từ link này: https://medium.com/the-everyday-developer/detect-file-mime-type-using-magic-numbers-and-javascript-16bc513d4e1e#_=_
Trong link có cả JSFiddle của tác giả cho ae test online luôn nhé: https://jsfiddle.net/0t27goLg/
1 |
|
Kiểm tra ở Backend
Ở trên Backend, ae có thể tự kiểm tra giống như code ở client hoặc có thể sử dụng library. Mình làm việc với PHP và NodeJS nên mình note ở dưới nhé.
- Với PHP: mình có search thấy library này nhưng có vẻ k nhiều star lắm, chắc bài thì ae tự code cũng đk, vì nó khá đơn giản. https://github.com/SoftCreatR/php-mime-detector
- Với Node JS: Lib này thì nhiều star. https://www.npmjs.com/package/file-type?fbclid=IwAR3i5nwRYftwl6fokicIDjTGPNhUYEzrl4JwSvnzSP8UJj2gTOjYMRO44CE
Đây là Blog cá nhân của MinhHungTrinh, nơi mình chia sẻ, lưu giữ kiến thức. Nếu các bạn có góp ý, thắc mắc thì vui lòng comment bên dưới cho mình biết nhé. Mình luôn là người lắng nghe và ham học hỏi. Các vấn đề đặc biệt hoặc tế nhị mọi người có thể gửi email tới minhhungtrinhvn@gmail.com. Cảm ơn Mọi Người đã đọc Blog của mình. Yolo!