JavaWeb文件上传下载核心是安全处理HTTP请求响应、合理管理存储路径;Spring Boot推荐用MultipartFile上传,ResponseEntity或流式输出下载,需校验空文件、重命名、限大小、防路径遍历、内容类型匹配及前后端协同校验。
JavaWeb 中实现文件上传下载,核心在于正确处理 HTTP 请求与响应、合理管理服务器端存储路径,并兼顾安全性与用户体验。Spring Boot 项目中推荐使用 MultipartFile 简化上传,用 ResponseEntity 或流式输出控制下载,避免内存溢出和路径遍历风险。
文件上传:接收并安全保存客户端文件
使用 Spring MVC 的 @RequestParam("file") MultipartFile file 接收表单中的文件字段。关键点包括:
- 检查
file.isEmpty()防止空上传 - 校验原始文件名(过滤
..、/、\),建议重命名(如 UUID + 原后缀) - 限制大小(通过
spring.servlet.multipart.max-file-size配置) - 选择可靠存储位置:优先写入应用外独立目录(如
/opt/uploads/),而非src/main/resources或临时目录 - 调用
file.transferTo(new File(savePath))完成保存,确保目标目录存在且有写权限
文件下载:按需响应,支持中文名与断点续传
下载不直接暴露磁盘路径,而是通过 Controller 返回文件流。常用方式有两种:
-
简单下载:用
ResponseEntity包装FileSystemResource,设置Content-Disposition头(注意对中文文件名做URLEncoder.encode(name, "UTF-8")) -
大文件/流式下载:用
HttpServletResponse.getOutputStream()手动读取文件流(Files.newInputStream),分块写入(如 8KB buffer),并设置Content-Length和Content-Type - 如需断点续传,需解析
Range请求头,返回206 Partial Content及对应字节段
安全性与健壮性必须考虑的细节
文件处理是 Web 安全高危环节,不可跳过以下检查:
立即学习“Java免费学习笔记(深入)”;
- 禁止用户控制完整文件路径——所有保存路径由服务端拼接,不拼接原始
filename - 校验文件内容类型(
file.getContentType())与扩展名是否匹配,必要时用 Apache Tika 检测真实 MIME 类型 - 限制可上传类型(如只允许
.jpg,.pdf),在前端 + 后端双重校验 - 上传目录禁止执行脚本(Linux 下设为
noexec挂载选项;Windows 注意 IIS/Nginx 配置) - 记录上传日志(用户、时间、文件名、大小),便于审计与排查
前后端配合要点(以 HTML 表单为例)
前端不是摆设,配合得当能显著提升体验与容错能力:
