Java文件下载核心是设置Content-Disposition为attachment并指定文件名,配合Content-Type和流式传输,同时严格校验路径防遍历与越权。
Java项目中添加文件下载功能,核心是让服务器正确响应HTTP请求,把文件内容以合适的方式传给浏览器,并提示用户保存。关键不在于“怎么读文件”,而在于“怎么告诉浏览器这是个要下载的文件”。
设置正确的响应头
浏览器是否弹出下载框,主要看Content-Disposition响应头。必须显式声明为attachment,并附上建议的文件名:
-
Content-Type:尽量设为application/octet-stream(通用二进制流),避免浏览器尝试解析或渲染;若明确类型(如PDF、Excel),也可用application/pdf等,但不强制影响下载行为
-
Content-Disposition:必须包含attachment; filename="xxx.pdf";注意中文文件名需用filename*=UTF-8''xxx.pdf方式编码,防止乱码
-
Content-Length(可选但推荐):写入文件大小,有助于浏览器显示进度条
流式写出文件内容,避免内存溢出
不要把整个文件读进内存再写出去,尤其面对大文件(如100MB日志、视频片段)。应使用InputStream → OutputStream直接管道传输:
- 用Files.newInputStream()或new FileInputStream()打开源文件
- 从HttpServletResponse.getOutputStream()获取输出流
- 用IOUtils.copy()(Apache Commons IO)或Files.copy()(JDK7+)完成流复制
- 务必finally块中关闭输入流,输出流由容器管理,一般不手动关
安全控制:禁止路径遍历与越权访问
用户传来的文件名不能直接拼路径,否则可能触发../etc/passwd这类攻击:
- 只允许访问预设目录(如/WEB-INF/downloads/),所有文件路径必须基于该根目录构建
- 对用户传参的文件名做白名单校验:仅保留字母、数字、下划线、短横线、点号;或用FilenameUtils.getName()提取纯文件名,丢弃路径部分
- 敏感文件(如配置文件、数据库备份)不应放在可下载路径下;权限控制建议结合登录态和业务规则(如“只有订单创建人才能下载对应发票”)
常见场景补充说明
实际开发中常遇到几种典型需求:
-
动态生成文件再下载:如导出Excel报表,用Apache POI生成ByteArrayOutputStream,再转为ByteArrayInputStream写入响应流
-
断点续传支持:需处理Range请求头,返回206 Partial Content,适用于大文件分片下载(如视频)
-
前端触发方式:普通链接即可;如需带参数或POST请求,可用fetch + Blob + URL.createObjectURL()或隐藏提交
基本上就这些。不复杂但容易忽略细节
——尤其是响应头和路径校验,线上出问题往往就在这两处。
