你以为 FastAPI 封装得够好了，随便写两句就能跑？天真

做后端开发，文件上传和下载是绕不过去的坎。FastAPI 的封装确实优雅，但如果你以为随便写两句就能高枕无忧，那可就太天真了。今天，我们就来盘点三个在实际项目中高频踩坑的场景，看看你中招了几条。

坑一：大文件上传，内存原地爆炸

很多新手第一次写文件上传接口，大概率会这么写：

from fastapi import FastAPI, UploadFile
import shutil

app = FastAPI()

@app.post("/upload")
async def upload_file(file: UploadFile):
    contents = await file.read()
    with open(f"./uploads/{file.filename}", "wb") as f:
        f.write(contents)
    return {"filename": file.filename}

乍一看没毛病，用 Postman 一测，小文件秒传，信心瞬间爆棚。然而，当产品经理扔过来一个 500MB 的视频文件时，接口直接 OOM（内存溢出），进程当场挂掉。

问题出在哪里？关键就在 await file.read() 这一行。它一次性把整个文件流都读进了内存，这谁顶得住？

正确的做法是采用流式写入，让内存压力降到最低：

@app.post("/upload")
async def upload_file(file: UploadFile):
    sa ve_path = f"./uploads/{file.filename}"
    with open(sa ve_path, "wb") as buffer:
        shutil.copyfileobj(file.file, buffer)
    return {"filename": file.filename}

shutil.copyfileobj 会自己管理缓冲区，将文件数据一块一块地写入磁盘，内存占用可以稳定控制在几 MB 以内。说到底，这个坑的教训就是：别贪图方便，试图一口吞下整个文件流。

坑二：文件下载，中文文件名 URL 乱码

后端接口写得漂漂亮亮，前端调用也一切顺利，结果用户下载下来的文件名变成了一串 %E4%B8%AD%E6%96%87 这样的“天书”，用户体验直接归零。

这其实不算是你的 Bug，而是 HTTP 协议中 URL 编码规则导致的。根据 RFC 5987 标准，如果文件名包含非 ASCII 字符（比如中文），就必须使用 encodeURIComponent 或者 RFC 5987 规定的 filename* 语法来处理。

最稳妥的做法，是在响应头里同时提供两个选项：

from fastapi import Response
import os
from urllib.parse import quote

@app.get("/download/{filename}")
async def download_file(filename: str, response: Response):
    file_path = f"./uploads/{filename}"
    if not os.path.exists(file_path):
        return {"error": "文件不存在"}

    # 兼容中文文件名
    safe_name = os.path.basename(filename)
    response.headers["Content-Disposition"] = (
        f"attachment; filename={safe_name}; "
        f"filename*=UTF-8''{quote(safe_name)}"
    )

    return Response(
        open(file_path, "rb").read(),
        media_type="application/octet-stream",
        headers=response.headers
    )

简单解释一下：filename 供现代浏览器使用，而 filename*=UTF-8'' 则为老式浏览器提供兜底方案。两者并存时，浏览器会自动选择它能理解的那个。另外，别忘了导入 from urllib.parse import quote。

坑三：文件类型不校验，后端成了木马上传入口

很多教程讲到文件上传就戛然而止，对文件类型校验只字不提。这在内部系统中或许还能接受，但对于任何有基本安全要求的系统，这无疑是一个高危漏洞。

想象一下，如果你的接口允许上传 .py 文件，攻击者完全可以上传一个能执行系统命令的脚本，然后直接访问它——这跟 SSRF（服务器端请求伪造）漏洞的危害不相上下。

最基础的防护手段，是同时校验文件扩展名和 MIME 类型：

ALLOWED_EXTENSIONS = {"jpg", "jpeg", "png", "pdf", "docx"}
ALLOWED_MIME_TYPES = {"image/jpeg", "image/png", "application/pdf", "application/vnd.openxmlformats-officedocument.wordprocessingml.document"}

@app.post("/upload")
async def upload_file(file: UploadFile):
    ext = file.filename.rsplit(".", 1)[-1].lower() if "." in file.filename else ""
    if ext not in ALLOWED_EXTENSIONS:
        return {"error": f"不支持的文件类型: .{ext}"}

    if file.content_type not in ALLOWED_MIME_TYPES:
        return {"error": f"不支持的MIME类型: {file.content_type}"}

    sa ve_path = f"./uploads/{file.filename}"
    with open(sa ve_path, "wb") as buffer:
        shutil.copyfileobj(file.file, buffer)
    return {"filename": file.filename}

当然，如果对安全性有更高要求，更佳实践是将文件直接存储到对象存储（如 OSS / S3）中，后端只返回一个具有时效性的临时访问链接，彻底杜绝用户直接访问服务器文件路径的可能性。这又是另一个话题了，有机会可以单独展开聊聊。

总结

三个高频坑点讲完了。回过头看，其实都是非常基础的问题：处理大文件要流式操作、中文文件名需规范编码、上传文件必须校验类型。说难吗？并不复杂。说简单吗？却总有人栽跟头。关键就在于，写代码时脑子里得时刻绷紧这根弦。把这些细节做到位，你的服务才能既稳健又安全。