Java文件上传核心是处理multipart/form-data请求,Spring Boot用MultipartFile快速实现,原生Servlet需Apache Commons FileUpload;须重命名文件、校验类型、限大小、隔离上传目录。
Java中实现简单文件上传,核心是处理HTTP表单提交的multipart/form-data请求,后端用Servlet或Spring Boot接收并保存文件。关键不在“写多少代码”,而在于理解数据怎么来、怎么解析、怎么安全落地。
使用Spring Boot快速实现(推荐初学者)
Spring Boot内置了对文件上传的友好支持,只需少量配置和代码:
- 确保
application.properties中设置了上传限制(可选但建议):spring.servlet.multipart.max-file-size=10MBspring.servlet.multipart.max-request-size=10MB - 编写一个接收文件的Controller方法:
@PostMapping("/upload")
public String handleFileUpload(@RequestParam("file") MultipartFile file, Model model) {
if (!file.isEmpty()) {
try {
// 保存到项目同级的uploads目录(注意路径权限)
String uploadDir = "../uploads/";
Files.createDirectories(Paths.get(uploadDir));
Path path = Paths.get(uploadDir + file.getOriginalFilename());
Files.write(path, file.getBytes());
model.addAttribute("msg", "上传成功:" + file.getOriginalFilename());
} catch (IOException e) {
model.addAttribute("msg", "上传失败:" + e.getMessage());
}
} else {
model.addAttribute("msg", "请选择文件");
}
return "result"; // 返回页面名
}
原生Servlet方式(理解底层原理)
如果不依赖Spring,可用标准Servlet + Apache Commons FileUpload库(需引入commons-fileupload和commons-io):
- HTML表单必须设
enctype="multipart/form-data"且method为POST - 在Servlet中判断是否为多部分请求:
ServletFileUpload.isMultipartContent(request) - 用
ServletFileUpload解析请求,遍历FileItem获取普通字段和文件字段 - 对
isFormField()==false的项调用item.write(file)保存
几个必须注意的安全细节
文件上传看似简单,但疏忽易引发风险:
-
不要直接用客户端传来的原始文件名——可能含
../路径穿越或特殊字符,建议用UUID重命名 -
校验文件类型不能只看后缀——应读取文件头(magic number)或使用
Tika等工具检测真实MIME类型 - 限制大小和数量——避免恶意大文件耗尽磁盘或内存
-
上传目录不要放在Web根路径下——防止用户通过URL直接访问执行脚本(如
.jsp、.php)
前端配合要点
后端再稳,前端没配对也白搭:
- 表单
- 文件输入框写法:
(name值要和后端@RequestParam一致) - 如需多文件,加
multiple属性,并后端用MultipartFile[]或List接收 - 可加
accept=".pdf,.jpg,.png"做浏览器端初步过滤(仅提示,不可靠)
基本上就这些。不复杂但容易忽略细节,跑通一次后,再加进度条、分片上传、云存储对接,就是顺理成章的事了。
