xml上传需前端用formdata封装blob并指定filename和type,后端multer配置filefilter校验mimetype为application/xml、扩展名为.xml,并用fast-xml-parser同步解析校验格式。
XML文件上传时Multer默认不识别application/xml
Multer 默认只解析 multipart/form-data 类型的请求,且对 XML 文件本身不做内容类型校验。当你用 fetch 或 curl 以 Content-Type: application/xml 直接发送 XML(非表单),Multer 完全不会触发——它压根收不到数据。必须走 form-data 封装,且 XML 文件需作为字段值提交。
正确构造前端上传:用FormData包裹XML字符串
不能直接 fetch(..., { body: xmlString }),必须包装成表单字段。常见错误是漏掉 filename 或传错 Content-Type。
- XML 字符串需转为
Blob,并显式指定type: 'application/xml' -
FormData.append()的第三个参数(filename)不能省略,否则 Multer 无法识别为文件字段 - 后端字段名(如
xmlFile)必须与@UploadedFile()装饰器中的fieldName一致
const xmlString = `<?xml version="1.0"?><user><name>Alice</name></user>`;
const blob = new Blob([xmlString], { type: 'application/xml' });
const formData = new FormData();
formData.append('xmlFile', blob, 'data.xml'); // 注意第三个参数是 filename
<p>fetch('/api/upload', {
method: 'POST',
body: formData,
// 不要手动设置 Content-Type!浏览器会自动加 boundary
});NestJS中配置Multer支持XML文件扩展和MIME类型
默认 Multer 只允许常见图片/文档扩展名。XML 需显式放行,否则会报 File too large 或静默失败(取决于配置)。关键点在 fileFilter 和 limits。
-
fileFilter必须检查file.mimetype === 'application/xml',不能只看扩展名(因为用户可伪造.txt) -
limits.files设为1防止多文件上传;limits.fileSize按需调整(XML 通常不大,但需预留解析开销) - 扩展名白名单加
.xml,避免用户上传.exe伪装成.xml
import { diskStorage } from 'multer';
import { extname } from 'path';
<p>export const xmlStorage = {
storage: diskStorage({
destination: './uploads',
filename: (req, file, cb) => {
const uniqueSuffix = Date.now() + '-' + Math.round(Math.random() <em> 1E9);
cb(null, <code>${uniqueSuffix}${extname(file.originalname)}</code>);
},
}),
fileFilter: (req, file, cb) => {
if (file.mimetype !== 'application/xml') {
return cb(new Error('Only XML files are allowed!'), false);
}
if (extname(file.originalname).toLowerCase() !== '.xml') {
return cb(new Error('Only .xml extension is allowed!'), false);
}
cb(null, true);
},
limits: {
fileSize: 5 </em> 1024 * 1024, // 5MB
files: 1,
},
};Controller中接收并验证XML内容结构
Multer 只负责保存文件,不解析 XML。你得自己读取、校验格式是否合法,否则恶意 XML(如外部实体注入 XXE)可能引发安全问题。
- 用
fs.readFileSync(file.path, 'utf8')读取内容,别用异步方法(NestJS 要求同步返回响应) - 必须做基础 XML 格式校验(例如用
libxmljs或fast-xml-parser),防止上传无效 XML 导致后续解析崩溃 - 若业务要求特定 schema,应在解析后进一步校验字段存在性、类型等
import { parse } from 'fast-xml-parser';
<p>@Post('upload')
@UseInterceptors(FileInterceptor('xmlFile', xmlStorage))
uploadFile(@UploadedFile() file: Express.Multer.File) {
try {
const xmlContent = fs.readFileSync(file.path, 'utf8');
const isValidXml = parse(xmlContent, { ignoreAttributes: false, ignoreNameSpace: true });
if (!isValidXml || typeof isValidXml !== 'object') {
throw new BadRequestException('Invalid XML format');
}
return { message: 'XML uploaded and parsed successfully', fileName: file.filename };
} catch (err) {
throw new BadRequestException('XML parsing failed: ' + err.message);
}
}XML 上传看似简单,但容易卡在 MIME 类型混淆、FormData 构造不规范、Multer 过滤逻辑缺失这三处。尤其注意前端不设 Content-Type、后端不校验 mimetype,会导致上传成功却无法识别文件类型。
