JAVA对文件类型的校验

通常，在WEB系统中，上传文件时都需要做文件的类型校验，大致有如下几种方法：

1. 通过后缀名，如exe,jpg,bmp,rar,zip等等。

2. 通过读取文件，获取文件的Content-type来判断。

3. 通过读取文件流，根据文件流中特定的一些字节标识来区分不同类型的文件。

4. 若是图片，则通过缩放来判断，可以缩放的为图片，不可以的则不是。

然而，在安全性较高的业务场景中，1，2两种方法的校验会被轻易绕过。

1. 伪造后缀名，如图片的，非常容易修改。

2. 伪造文件的Content-type，这个稍微复杂点，

3.较安全，但是要读取文件，并有16进制转换等操作，性能稍差，但能满足一定条件下对安全的要求，所以建议使用。

但是文件头的信息也可以伪造，截图如下，对于图片可以采用图片缩放或者获取图片宽高的方法避免伪造头信息漏洞。

package com.nfschina.utils.file; import java.io.File; import java.io.FileInputStream; import java.util.HashMap; import java.util.Iterator; import java.util.Map; import java.util.Map.Entry; import com.nfschina.utils.BaseException; /*********************************************************************** * * Description: 主要用于判断文件的类型 * ***********************************************************************/ public class FileTools { public final static Map<String, String> FILE_TYPE_MAP = new HashMap<String, String>(); /*-----------------------------目前可以识别的类型----------------------------*/ private static void getAllFileType() { FILE_TYPE_MAP.put("jpg", "FFD8FF"); //JPEG FILE_TYPE_MAP.put("png", "89504E47"); //PNG FILE_TYPE_MAP.put("gif", "47494638"); //GIF FILE_TY