在 Node.js 文件上传中集成 ClamAV 扫描

文件上传是常见的攻击面。用户上传的文件可能包含恶意软件、ZIP 炸弹或 伪造的 MIME 类型。大多数 Node.js 项目只做扩展名检查,这远远不够。

pompelmi 是一个 Node.js 库,在文件落盘之前完成扫描,返回类型化的 verdict symbol,不依赖任何第三方运行时。

GitHub: github.com/pompelmi/po...


工作原理

  1. 验证参数是否为字符串,文件是否存在
  2. 通过 child_process 调用 clamscan,读取退出码
  3. 将退出码映射为 Symbol

没有 stdout 解析,没有正则,没有隐式状态。


安装

需要 Node.js 和 ClamAV。

bash 复制代码
npm install pompelmi

安装 ClamAV:

bash 复制代码
# macOS
brew install clamav && freshclam

# Debian / Ubuntu
sudo apt-get install -y clamav clamav-daemon && sudo freshclam

# Windows
choco install clamav -y

基本用法

js 复制代码
const { scan, Verdict } = require('pompelmi');

const result = await scan('/path/to/file.zip');

switch (result) {
  case Verdict.Clean:
    // 文件安全,继续处理
    break;
  case Verdict.Malicious:
    throw new Error('检测到恶意软件,文件已拒绝');
  case Verdict.ScanError:
    // 扫描未完成,按不可信文件处理
    console.warn('扫描失败,拒绝文件');
    break;
}

返回值:

结果 ClamAV 退出码 含义
Verdict.Clean 0 未发现威胁
Verdict.Malicious 1 匹配到已知病毒签名
Verdict.ScanError 2 扫描本身失败,文件状态未知

在 Express 中集成

js 复制代码
const express = require('express');
const multer  = require('multer');
const { scan, Verdict } = require('pompelmi');
const path = require('path');
const fs   = require('fs');

const app    = express();
const upload = multer({ dest: 'tmp/' });

app.post('/upload', upload.single('file'), async (req, res) => {
  const filePath = path.resolve(req.file.path);

  try {
    const result = await scan(filePath);

    if (result === Verdict.Malicious) {
      fs.unlinkSync(filePath);
      return res.status(422).json({ error: '文件包含恶意软件' });
    }

    if (result === Verdict.ScanError) {
      fs.unlinkSync(filePath);
      return res.status(422).json({ error: '扫描失败,文件已拒绝' });
    }

    // Verdict.Clean --- 继续保存文件
    return res.status(200).json({ verdict: 'clean' });

  } catch (err) {
    fs.unlinkSync(filePath);
    return res.status(500).json({ error: err.message });
  }
});

远程扫描(Docker)

如果 ClamAV 运行在容器中,通过 TCP socket 连接:

js 复制代码
const result = await scan('/path/to/file.zip', {
  host: '127.0.0.1',
  port: 3310,
});

API 保持不变,verdict 类型不变。


错误处理

js 复制代码
try {
  const result = await scan(path.resolve(filePath));
  return result;
} catch (err) {
  // filePath 不是字符串      → 'filePath must be a string'
  // 文件不存在               → 'File not found: <path>'
  // clamscan 不在 PATH 中    → ENOENT
  // 未知退出码               → 'Unexpected exit code: N'
  console.error('扫描异常:', err.message);
  return null;
}

特性

  • 零运行时依赖,仅使用 Node.js 内置 child_process
  • 不解析 stdout,直接读取退出码
  • 支持 TypeScript,verdict 为 Symbol 类型,防止拼写错误
  • 支持本地 clamscan 和远程 clamd TCP socket
  • 跨平台:macOS、Linux、Windows

相关链接

相关推荐
天才熊猫君10 小时前
配置与数据分离:一种可视化搭建的属性编辑方案
前端·javascript
林希_Rachel_傻希希11 小时前
web性能之相关路径——AI总结
前端·javascript·面试
不好听61311 小时前
从零搭建一个 RAG 语义搜索系统 —— DEMO的初始阶段
javascript·面试·llm
何时梦醒11 小时前
上下文工程(Context Engineering):AI 应用开发的新范式 —— 从理论到实战全解析
javascript
竹林81811 小时前
用 wagmi v2 踩坑两天,我终于搞懂了多链钱包切换在 DeFi 前端中的正确姿势
前端·javascript
用户21366100357211 小时前
Vue项目搜索功能与面包屑导航
前端·javascript
阿黎梨梨11 小时前
揭秘大语言模型的底层逻辑:从文本分词到高维向量的计算之旅
javascript·人工智能
天平20 小时前
油猴脚本创建webworker踩坑记录
前端·javascript·typescript
山河木马1 天前
渲染管线-计算得到gl_Position(顶点着色器)之后续GPU流程
javascript·webgl·图形学
竹林8181 天前
用 The Graph 查询链上数据实战:从手搓 RPC 到 Subgraph,我的 NFT 项目数据加载快了 10 倍
前端·javascript