本文介绍如何在 PHP 中安全、干净地触发 PEM 文件下载,避免 HTML 内容混入文件,核心在于清除输出缓冲并终止后续脚本执行。
本文介绍如何在 PHP 中安全、干净地触发 PEM 文件下载,避免 HTML 内容混入文件,核心在于清除输出缓冲并终止后续脚本执行。
在 Web 应用中,常需将动态生成的密钥(如 RSA 公钥)以 PEM 格式提供给用户下载。虽然使用 file_put_contents() 保存密钥、再通过 readfile() 输出文件看似简单,但若该逻辑嵌入在常规 HTML 页面(如 Laravel Blade 模板、WordPress 主题或普通 PHP 脚本)中,极易因输出缓冲未清理而导致 HTML 结构意外追加到 PEM 文件末尾——正如问题中所示:下载的 download.pem 文件开头是标准 PEM 头,结尾却混入了 <html>、<body> 和 jQuery 脚本等无关内容,导致文件无法被 OpenSSL 或其他工具正确解析。
根本原因在于:PHP 的输出缓冲(output buffering)可能已开启(例如由框架、CMS 或 php.ini 中的 output_buffering 配置启用),而 readfile() 仅输出文件内容,并未阻止后续 PHP 脚本继续执行或输出模板中的 HTML。因此,必须显式清空缓冲区,并立即终止脚本运行。
✅ 正确做法如下:
// 确保 PEM 内容已写入文件(示例)
$pubKey = "-----BEGIN PUBLIC KEY-----\n" .
"MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAu..." .
"\n-----END PUBLIC KEY-----";
file_put_contents('pubKey.pem', $pubKey);
// 清理所有已缓存的输出(关键!)
ob_clean();
// 设置标准下载响应头
header('Content-Description: File Transfer');
header('Content-Type: application/x-pem-file'); // 或更通用的 'application/octet-stream'
header('Content-Disposition: attachment; filename="download.pem"');
header('Content-Transfer-Encoding: binary');
header('Expires: 0');
header('Cache-Control: must-revalidate, post-check=0, pre-check=0');
header('Pragma: public');
// 输出文件并立即退出,防止后续任何输出
exit(readfile('pubKey.pem'));⚠️ 注意事项:
- ob_clean() 必不可少:它清除当前输出缓冲区的内容(如之前已 echo 的字符或框架自动注入的 HTML 片段),但不关闭缓冲;若需更彻底控制,可配合 ob_end_clean()(关闭并清空)。
- exit() 或 die() 是强制要求:readfile() 返回字节数,但不会自动终止脚本;省略 exit() 将导致后续 PHP 代码(如模板 footer、JS 加载等)继续执行并输出,污染文件。
- 推荐 MIME 类型:application/x-pem-file 并非标准 IANA 类型,生产环境建议使用 application/octet-stream 或 text/plain(因 PEM 本质为 Base64 文本),兼顾兼容性与安全性。
- 文件路径安全:确保 'pubKey.pem' 是临时、私有路径(如 sys_get_temp_dir() 下),避免用户直接通过 URL 访问未授权密钥文件。
- 权限与清理:下载完成后,可根据业务需求调用 unlink('pubKey.pem') 删除临时文件,防止敏感信息残留。
通过以上步骤,用户下载的 download.pem 将严格只包含纯净的 PEM 块(含 -----BEGIN... 和 -----END... 行及中间 Base64 数据),完全符合 RFC 7468 规范,可被 OpenSSL、Java KeyStore、OpenSSH 等各类工具无缝识别与使用。
