Nem azt kéne ellenőrizni, hogy az jött-e, amit elvársz a klienstől?
A fenti példánál maradva (ahol a klienstől kapott mime típus alapján lehet, hogy xls fájlról van szó), ha te azt ellenörzöd, hogy a szerver és a kliensek mime fájlja (vagy registry-je!) ugyanazt tartalmazza-e, akkor amint jön egy IE user, azonnal nem használhatja. Vagy a használható mime típusok listája mellett mindegyikhez egy whitelist-et is karban kell tartani, hogy milyen "aliasokat" írhatnak rá a böngészők.
Akkor meg már egyszerűbb csak megnézni szerver oldalon, hogy ténylegesen mi jött a klienstől, a nem megfelelőket visszadobni, hogy hibás fájl, naplózni a hibás fájl típust (és hogy mit hazudott rá a browser), és ha blacklistelt fájltípus jön (pl. akármilyen text #! kezdettel, futtatható bináris stb.), akkor riasztást is küldeni (a visszadobás, és a bizonyíthatósághoz a biztonságos helyre back-upolás után).
BlackY