java文件上传异常防控核心是前置校验与资源兜底:合理设置大小限制、白名单校验后缀、判空防illegalstateexception、路径安全处理、唯一文件名、流关闭及日志记录,大文件需分片+异步+对象存储。
Java文件上传抛异常,核心在于提前识别常见错误类型、做好边界校验和资源清理。别等程序崩了才去查日志,多数问题其实能预防。
检查文件大小和类型限制是否合理
上传超大文件或非法后缀常触发FileSizeLimitExceededException或自定义校验失败。Spring Boot默认限制1MB,超出直接400错误。
- 在
application.properties中调大限制:spring.servlet.multipart.max-file-size=50MBspring.servlet.multipart.max-request-size=50MB - 业务层再加白名单校验,比如只允许
.jpg,.pdf,.xlsx:
提取MultipartFile.getOriginalFilename()后缀,用String.endsWith()或正则判断 - 前端同步做JS校验(防误操作),但后端必须二次校验(防绕过)
处理空文件或参数缺失
MultipartFile.isEmpty()为true时,说明没选文件或浏览器未正确提交。别直接调transferTo(),会抛IllegalStateException。
- 上传前必判空:
if (file == null || file.isEmpty()) { throw new IllegalArgumentException("文件不能为空"); } - Controller方法参数加
@RequestParam(required = true),让框架自动拦截无参请求 - 返回统一错误码(如400)+ 明确提示,别暴露堆栈给前端
IO异常和路径安全要兜底
保存文件时可能因磁盘满、权限不足、路径含..跳转等抛IOException或SecurityException。不能让异常穿透到外层。
立即学习“Java免费学习笔记(深入)”;
- 用
Paths.get(uploadDir, filename)替代字符串拼接,避免路径遍历 - 生成唯一文件名(如UUID+原始后缀),防止重名覆盖
- 用try-with-resources或finally确保
InputStream关闭;transferTo()内部已处理流,但自己手动读写时必须关 - 捕获
IOException,记录详细日志(含文件名、大小、目标路径),返回用户友好提示
异步上传或大文件分片需额外考虑
普通MultipartFile不适合百MB以上文件。真有大文件需求,得换方案。
- 前端用
axios或fetch分片上传,后端用@RequestBody接收二进制块,按序合并 - 临时文件存入Redis或DB标记状态,防重复提交或断点续传丢失
- 上传中服务重启?考虑把临时文件存OSS/MinIO,用对象存储代替本地磁盘
- 别在主线程里处理耗时IO,用
@Async或消息队列解耦
基本上就这些。异常不是故障,是系统在提醒你哪里还没守好。关键不是 catch 多少种异常,而是哪一步该校验、哪一步该隔离、哪一步该降级。
