Упомянутый вопрос об ошибке (который связывает this ) не относится к ошибке, он говорит, что некоторые типы файлов MS Office, как, например, jar-файлы Java, упакованы и сжаты как zip-файлы.Если вы переименуете файл .xlsx в .zip, вы сможете просмотреть его содержимое - я нашел 13 .xml файлов и файл настроек принтера .bin в простом примере.
В целях безопасности вы не можете «доверять»MIME-тип и расширение файла, предоставляемые пользователем, но в принципе вы можете использовать их для проверки того, что содержимое действительно для заявленного типа файла.Первый уровень проверки будет гарантировать, что заявленные файлы Office на самом деле являются действительными zip-файлами, второй - проверку соответствия содержимого тому, что ожидает приложение Office.Не будучи разработчиком Office, я не знаю, как проверить zip-архив, определить, для какого приложения Office оно предназначено, и проверить, может ли приложение его открывать, но я уверен, что оно существует где-то в MSDN.
Что более важно, что вы подразумеваете под "безопасность важна для моего приложения"?Безопасность предотвращает нежелательные события - вам нужно определить, что вы хотите предотвратить.Вы хотите, чтобы пользователи могли загружать файлы только для приложений из белого списка?Должны ли они быть защищены от загрузки типов файлов из черного списка (например, .exe)?С тобой все в порядке, если пользователь загрузил 10 МБ случайных битов и назвал их файлом .xyz?