SpringBoot如何验证用户上传的图片资源

最新推荐文章于 2022-06-12 11:25:19 发布
最新推荐文章于 2022-06-12 11:25:19 发布
阅读量503 收藏
点赞数
文章标签: java
原文链接:https://www.linuxprobe.com/springboot-java-imageio.html
版权
本文详细介绍了在SpringBoot应用中如何确保用户上传的图片资源安全,包括通过检查文件后缀和使用ImageIO读取图片宽高来防止非法文件上传。这两种方法可以有效避免木马和webshell等潜在风险,同时提供了代码示例进行说明。
摘要由CSDN通过智能技术生成
导读这篇文章主要介绍了在SpringBoot中验证用户上传的图片资源,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下

SpringBoot如何验证用户上传的图片资源SpringBoot如何验证用户上传的图片资源

允许用户上传图片资源(头像,发帖)是APP常见的需求,特别需要把用户的资源IO到磁盘情况下,需要防止坏人提交一些非法的文件,例如木马,webshell,可执行程序等等。这类非法文件不仅会导致客户端图片资源显示失败,而且还会给服务器带来安全问题。

通过文件后缀判断文件的合法性

这种方式比较常见,也很简单,是目前大多数APP选择的做法。

public Object upload (@RequestParam("file") MultipartFile multipartFile) throws IllegalStateException, IOException {
     
    // 原始文件名称
    String fileName = multipartFile.getOriginalFilename();
     
    // 解析到文件后缀,判断是否合法
    int index = fileName.lastIndexOf(".");
    String suffix = null;
    if (index == -1 || (suffix = fileName.substring(index + 1)).isEmpty()) {
        return "文件后缀不能为空";
    }
     
    // 允许上传的文件后缀列表
    Set allowSuffix = new HashSet<>(Arrays.asList("jpg", "jpeg", "png", "gif"));
    if (!allowSuffix.contains(suffix.toLowerCase())) {
        return "非法的文件,不允许的文件类型:" + suffix;
    }
     
    // 序列化到磁盘中的文件上传目录, /upload
    // FileCopyUtils.copy 方法会自动关闭流资源
    FileCopyUtils.copy(multipartFile.getInputStream(), Files.newOutputStream(Paths.get("D://upload", fileName), StandardOpenOption.CREATE_NEW));
     
    // 返回相对访问路径,文件名极有可能带中文或者空格等字符,进行uri编码
    return  "/" + UriUtils.encode(fileName, StandardCharsets.UTF_8);
}

使用 ImageIO 判断是否是图片

这个方法就比较严格了,在判断后缀的基础上,使用Java的ImageIO类去加载图片,尝试读取其宽高信息,如果不是合法的图片资源。则无法读取到这两个数据。就算是把非法文件修改了后缀,也可以检测出来。

public Object upload (@RequestParam("file") MultipartFile multipartFile) throws IllegalStateException, IOException {
     
    // 原始文件名称
    String fileName = multipartFile.getOriginalFilename();
     
    // 解析到文件后缀
    int index = fileName.lastIndexOf(".");
    String suffix = null;
    if (index == -1 || (suffix = fileName.substring(index + 1)).isEmpty()) {
        return "文件后缀不能为空";
    }
     
    // 允许上传的文件后缀列表
    Set allowSuffix = new HashSet<>(Arrays.asList("jpg", "jpeg", "png", "gif"));
    if (!allowSuffix.contains(suffix.toLowerCase())) {
        return "非法的文件,不允许的文件类型:" + suffix;
    }
     
    // 临时文件
    File tempFile = new File(System.getProperty("java.io.tmpdir"), fileName);
     
    try {
        // 先把文件序列化到临时目录
        multipartFile.transferTo(tempFile);
        try {
            // 尝试IO文件,判断文件的合法性
            BufferedImage  bufferedImage = ImageIO.read(tempFile);
            bufferedImage.getWidth();
            bufferedImage.getHeight();
        } catch (Exception e) {
            // IO异常,不是合法的图片文件,返回异常信息
            return "文件不是图片文件";
        }
        // 复制到到上传目录
        FileCopyUtils.copy(new FileInputStream(tempFile), Files.newOutputStream(Paths.get("D://upload", fileName), StandardOpenOption.CREATE_NEW));
        // 返回相对访问路径
        return  "/" + UriUtils.encode(fileName, StandardCharsets.UTF_8);
    } finally {
        // 响应客户端后,始终删除临时文件
        tempFile.delete();
    }
}

总结

使用ImageIo的方式更为保险,但是需要多几次IO操作。比较消耗性能。而且今天APP大都是用云存储服务,类似于阿里云的OSS。直接就把客户端上传的文件PUT到了云端,才不管用户上传的图片是不是真正的图片,非法上传,最多导致客户端不能显示而已,但是威胁不了服务器的安全。Linux就该这么学

Linux资源站
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
富文本编辑器
xiaolu_0的博客
10-02 567
1、富文本编辑 2、文件上传及优化
SpringBoot图片上传
m0_61501833的博客
01-11 306
1.接口文件 2.Controller层 @RestController @CrossOrigin @RequestMapping("/file") public class FileController { @Autowired private FileService fileService; /** * 业务说明: 实现图片上传 * URL: http://localhost:8091/file/upload * 类型: post .
SpringBoot项目:图片上传并进行简单校验
z7kirictol的博客
06-16 1351
前端代码 要注意: 1、在form标签上加上enctype=“multipart/form-data”,不然会报类型不匹配错误 2、在input标签上加上multiple才可以同时上传多个文件 <form th:action="@{upload/image}" th:method="post" enctype="multipart/form-data"> <input th:type="file" name="file" multiple> <inpu
springboot--判断form表单是否是图片上传
HadwinLing
08-19 847
@PostMapping("/admin/updateTag") public String updateTag(Tag tag,@RequestParam(name = "photo") MultipartFile photo) throws IOException { //获取文件全名 String photoName = photo.getOriginalFilename(); //首先判断是不是空的文件 if (!photo.i
Springboot 验证码生成和校验图片格式和base64编码串
默默不代表沉默
09-25 6442
开始敲代码前,先简单介绍下大致的想法实现: 生成验证码: 提供一个接口,这个接口里,我们将生成的验证码存入session,然后将验证码以图片格式或者base64编码串返回给调用端。 校验验证码: 提供一个接口,这个接口里,我们收到调用端传过来的校验码,然后从session取出验证码,两个验证码都全部转小写,进行无大小写区分匹配校验,返回true/flase 。存储验证码: 生成的验证码,在未...
SpringBoot整合七牛云图片上传
12-21
七牛云提供了一套高效、稳定的云存储服务,适用于处理和存储大量的图片资源。下面,我们将按照步骤详细解释整合过程,并解答关于配置和代码实现的一些常见疑问。 首先,**注册七牛云账号**: 1. 访问七牛云官方网站...
实例详解SpringBoot+nginx实现资源上传功能
09-29
在本文中,我们将深入探讨如何使用...SpringBoot处理文件上传的业务逻辑,而Nginx则专注于静态资源的高效分发,两者协同工作,可以为用户提供流畅的上传体验。这种架构对于需要处理大量静态内容的Web应用来说非常实用。
基于SpringBoot的高清壁纸图片站.zip
05-29
【标题】基于SpringBoot的高清壁纸图片站是一个利用SpringBoot框架构建的Java应用程序,它旨在为用户提供一个方便、高效的高清壁纸浏览和下载平台。通过这个项目,我们可以深入了解SpringBoot在实际开发中的应用以及...
0001_springboot-文件上传图片上传显示.zip
09-01
为了实现实时显示上传图片,我们需要理解Web服务器如何处理静态资源。Spring Boot默认会将`src/main/resources/static`目录下的内容作为静态资源提供。因此,如果图片保存在这个路径下,可以直接通过URL访问。...
SpringBoot+文件上传
04-29
在Spring Boot应用中,文件上传是一项常见的功能,用于接收用户上传的文件,如图片、文档等。本项目利用Spring Boot的内置组件`StandardServletMultipartResolver`来实现这一功能。`...
使用Springboot上传图片并将URL保存到数据库中
10-26
使用Spring Boot上传文件的简单Demo
SpringBoot文件上传控制及Java 获取和判断文件头信息
08-28
主要介绍了SpringBoot文件上传控制的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
springboot文件扩展名判断 (通用)
weixin_43652507的博客
12-23 794
springboot文件扩展名判断 (通用)
SpringBoot实现前端验证图片生成和校验
Walker_m的博客
05-23 2334
SpringBoot下实现前端验证图片的生成和校验,供大家参考,具体内容如下1.效果点击验证码可以获取新的验证码2.原理后台生成验证图片,将图片传到前台。 后台在session中保存验证码内容。 前台输入验证码后传到后台在后台取出session中保存的验证码进行校验。注意,验证码的明文是不能传送到前端的。前端内容都是透明的,不安全。验证码是用来防机器人并不是单单防人。如果把验证码明文传到前端很...
springboot上传文件并检查图片大小与格式
dgqvhtlwq472235338的博客
02-20 1324
@PostMapping(value = "/uploadDriverImage") public JsonResVo uploadDriverImage(@RequestParam("file") MultipartFile file) { try { //检查文件是否为空 if(file....
springboot 实现图片上传功能
热门推荐
m0_67400973的博客
06-12 1万+
这几天在做重构学校的图书馆项目,用sprinboot重新搭建项目,原项目是使用PHP搭建的,刚开始看着挺懵的,慢慢的就看懂。这个项目中遇到的难题是照片上传功能,弄了挺久才实现出来。此功能没有导入如何jar包。这里介绍呢,我就按照项目本身的结构来实现这个功能。首先是数据库的数据结构,项目先是通过照片名(xxx.jpg)保存到数据库(picurl). 故我的想法是通过新书的名字,获取到这个新书对应的照片名,进行对上传上的照片进行名字的修改。 2.Service层 3.自定义异常 3.1service层自定义
springBoot+jpa实现图片上传功能,使用MultipartFile接口实现
公子&小白的博客
06-14 3139
文章目录1. springBoot+jpa实现图片上传功能1.1. 扩展知识点1.2. 图片上传功能的实现步骤1.3. 源码 1. springBoot+jpa实现图片上传功能 1.1. 扩展知识点 spring集成了MultipartFile接口,该接口为参数https://blog.csdn.net/woainike/article/details/6620862 有一个实现类,Common...
springboot实现图片上传持久化
最新发布
08-13
SpringBoot中实现图片上传持久化可以通过以下步骤来实现: 1. 配置文件上传解析器:为了能够解析客户端上传的文件,我们需要配置一个专门用于解析文件的解析器。可以通过在SpringBoot的配置类中添加`Multipart...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值