文件后缀校验

最新推荐文章于 2024-08-02 07:00:00 发布
最新推荐文章于 2024-08-02 07:00:00 发布
阅读量2.1k 收藏 6
点赞数 1
分类专栏: java 文章标签: 文件后缀校验
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SHIYUN123zw/article/details/90483537
版权

      文件上传时,为了安全验证,对于手工改动文件后缀名产生的伪造文件进行判断过滤。我们可以根据文件头来判断该文件究竟是什么文件类型。

以下常见文件头类型(网查可靠待定)

JPEG (jpg),文件头:FFD8FF 
PNG (png),文件头:89504E47 
GIF (gif),文件头:47494638 
TIFF (tif),文件头:49492A00 
Windows Bitmap (bmp),文件头:424D 
CAD (dwg),文件头:41433130 
Adobe Photoshop (psd),文件头:38425053 
Rich Text Format (rtf),文件头:7B5C727466 
XML (xml),文件头:3C3F786D6C 
HTML (html),文件头:68746D6C3E 
Email [thorough only] (eml),文件头:44656C69766572792D646174653A 
Outlook Express (dbx),文件头:CFAD12FEC5FD746F 
Outlook (pst),文件头:2142444E 
MS Word/Excel (xls.or.doc),文件头:D0CF11E0 
MS Access (mdb),文件头:5374616E64617264204A 
WordPerfect (wpd),文件头:FF575043 
Postscript (eps.or.ps),文件头:252150532D41646F6265 
Adobe Acrobat (pdf),文件头:255044462D312E 
Quicken (qdf),文件头:AC9EBD8F 
Windows Password (pwl),文件头:E3828596 
ZIP Archive (zip),文件头:504B0304 
RAR Archive (rar),文件头:52617221 
Wave (wav),文件头:57415645 
AVI (avi),文件头:41564920 
Real Audio (ram),文件头:2E7261FD 
Real Media (rm),文件头:2E524D46 
MPEG (mpg),文件头:000001BA 
MPEG (mpg),文件头:000001B3 
Quicktime (mov),文件头:6D6F6F76 
Windows Media (asf),文件头:3026B2758E66CF11 
MIDI (mid),文件头:4D546864

 

判断逻辑待码(根据前4个字节判断)

package cn.cslp.dgs.util;

import java.io.File;
import java.io.FileInputStream;
import java.io.InputStream;
import java.util.HashMap;
import java.util.Map;

public class FileCheckUtil {

	public final static Map<String, String> FILE_TYPE_MAP = new HashMap<String, String>();

    // 可配置在外部配置文件中
	public static void init() {
		FILE_TYPE_MAP.put("jpg", "ffd8ffe0"); // JPEG (jpg)
		FILE_TYPE_MAP.put("png", "89504e47"); // PNG (png)
		FILE_TYPE_MAP.put("gif", "47494638"); // GIF (gif)
		FILE_TYPE_MAP.put("html", "3c21444f"); // HTML (html)
		FILE_TYPE_MAP.put("css", "48544d4c"); // css
		FILE_TYPE_MAP.put("js", "696b2e71"); // js
		FILE_TYPE_MAP.put("doc", "d0cf11e0"); // MS Excel 注意:word、msi 、 excel、Visio 绘图 的文件头一样
		FILE_TYPE_MAP.put("pdf", "25504446"); // (pdf)
		FILE_TYPE_MAP.put("zip", "504b0304");
		FILE_TYPE_MAP.put("rar", "52617221");
		FILE_TYPE_MAP.put("docx", "504b0304");// docx文件
	}

	static {
		init();
	}

	private FileCheckUtil() {

	}


	/**
	 * 启用
	 * 可配置在外部配置文件中
	 * @return
	 */
	private static boolean getStartUsing() {
		return true;
	}

	/**
	 * 校验type
	 * 
	 * @param content
	 * @param fileName
	 * @return
	 */
	public static boolean checkFileType(byte[] content, String fileName) {
		if (!getStartUsing()) {
			return true;
		}
		if (null == fileName || fileName.equals("")) {
			return false;
		}
		if (null == content || content.length <= 0) {
			return false;
		}

		// 文件后缀
		String suffix = fileName.substring(fileName.lastIndexOf(".") + 1);
		String realCode = FILE_TYPE_MAP.get(suffix);
		if (realCode == null || (realCode = realCode.trim()).length() == 0) {
			// 没有配置校验的,直接通过
			return true;
		}

		// 获取文件的前16个字节
		String fileCode = getFileFrontCode(content, 16);
		if (fileCode.toLowerCase().startsWith(realCode.toLowerCase())) {
			// 匹配,通过
			return true;
		}

		// 全都不匹配,校验不通过
		return false;
	}

	/**
	 * 将文件头转换成16进制字符串
	 * 
	 * @param 原生byte
	 * @return 16进制字符串
	 */
	public static String bytesToHexString(byte[] src) {
		StringBuilder stringBuilder = new StringBuilder();
		if (src == null || src.length <= 0) {
			return null;
		}
		for (int i = 0; i < src.length; i++) {
			int v = src[i] & 0xFF;
			String hv = Integer.toHexString(v);
			if (hv.length() < 2) {
				stringBuilder.append(0);
			}
			stringBuilder.append(hv);
		}
		return stringBuilder.toString();
	}

	/**
	 * 文件头byte
	 * 
	 * @param content
	 * @param num
	 * @return
	 */
	private static String getFileFrontCode(byte[] content, Integer num) {
		Integer length = Math.min(content.length, num); // 防止copy出现越界
		byte[] b = new byte[length];
		System.arraycopy(content, 0, b, 0, b.length);
		return bytesToHexString(b);
	}



	public static void main(String[] args) throws Exception {
		String p = "D:\\temp\\logs\\pdf\\2.pdf";
		byte[] b = new byte[20];
		InputStream in = new FileInputStream(new File(p));
		in.read(b, 0, 20);
		String fileCode = bytesToHexString(b);
		System.out.println("截取前:" + fileCode);
		System.out.println(checkFileType(b, "2.pdf"));


	}

}

 

ZeWe
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
校验文件后缀是否合法
JohnShen的博客
04-29 895
/** * 校验上传的文件类型是否合法 * @param file * @return * @author John * @Date 2015年4月13日 */ private boolean isValidFileExt(MultipartFile file){ String[] extArray = {"doc"
Java 对上传文件后缀格式的校验
热门推荐
起止洺的博客
05-09 1万+
在web开发中,我们经常遇到一些上传文件的功能, 我们在对文件进行校验时,除了对文件大小进行校验外,还需要对文件的格式进行校验. 在对格式校验的时候要考虑到用户或者攻击者对文件后缀进行的改变,导致上传的文件并不是我们需要的类型,从而对系统造成影响. 我们可以对常用的文件进行校验,如图片格式, 压缩格式,office word,Excel格式,以及其他文件的格式进行校验. 代码如下: import ...
通过文件后缀名进行校验校验文件是否符合后缀
爪哇程序猿
12-17 2032
private static final String[] suffixWhiteList = {"PNG","JPEG","JPG","GIF"}; 定义上传的文件类型白名单,可放在conf配置文件中。 /** * 文件后缀校验 * * @param fileName * 文件名称 * @ret...
CTFHUB-文件上传-文件头检查
最新发布
weixin_68416970的博客
08-02 205
CTFHUB技能树、文件上传漏洞、文件头检查的过关教程
效验文件后缀及其流后缀 是否验证;文件大小
沉淀、分享、成长,让自己和他人都能有所收获!
11-25 565
文件验证是一项重要的任务,用于确保用户上传的文件符合预期并安全可用。验证文件后缀是一种最常见的检查,确保上传的文件类型与您预期的类型相匹配。但是,应该注意的是,文件后缀可能被伪造,因此此项验证不能单独作为唯一标准。检查文件的内容是否与其声明的文件类型相符,而不仅仅是文件后缀。这可以通过读取文件的特定字节、魔数(magic number)或文件头信息来实现。控制上传文件的大小是很重要的。过大的文件可能会影响系统性能,甚至造成拒绝服务攻击。应该设置最大文件大小限制,并在上传时进行验证。
js实现图片文件校验,验证上传的文件是图片和其后缀名,大小
yyyfff43的专栏
09-10 3266
转自 http://blog.csdn.net/possibleonline/archive/2009/04/21/4096902.aspx很实用      New Document            UpLoadFileCheck=function() {    this.AllowExt=".jpg,.gif,.png"
文件上传之验证后缀与内容是否一致
赵泽清的博客
01-04 1646
在上传前验证,开发者们往往喜欢通过后缀或者File.type()去判断一个文件类型来决定是否符合上传要求。但这显然是不可靠的,当被别有用心的人利用后,就可能在服务器被执行。今天就来解决如何在前端验证文件内容跟后缀是否一致。 1. Magic number 既然要解析文件内容那这个 Magic Number 就很关键 => Magic number:即幻数,它可以用来标记文件或者协议的格式...
JS 获取文件后缀,判断文件类型(比如是否为图片格式)
10-15
在JavaScript中,获取文件后缀和判断文件类型是常见的需求,尤其在处理用户上传的文件时,例如确保上传的是图片格式。以下是如何使用JavaScript来实现这些功能的详细说明。 首先,我们来了解一下如何**获取文件后缀...
Java防止文件被篡改之文件校验功能的实例代码
08-26
"Java防止文件被篡改之文件校验功能的实例代码" 本文主要介绍了Java防止文件被篡改之文件校验功能,给大家分享了文件校验和原理及具体实现思路。文件校验和的主要作用是保证系统版本的正确性和唯一性。 文件校验和...
正则截取文件名,文件后缀,文件路径
03-17
正则截取文件名,文件后缀,文件父路径,去掉文件后缀 FileNameUtils.getParentPath : 获取父路径 如 C:\A\B\test.txt 返回: C:\A\B\ /home/usr/test.txt 返回 /home/usr/ FileNameUtils.getSuffix : 获取文件后缀...
MimeType文件校验demo
08-20
MimeType文件校验是网络服务中常见的操作,特别是在处理用户上传的文件时,它能确保服务器正确地解析和处理文件。本示例"MimeType文件校验demo"提供了关于如何在Java环境中检查和验证MimeType的方法,特别提到了利用...
后缀名验证
weixin_30530939的博客
08-10 170
ma.aspx.jpg中的.jpg修改为\00jpg 可绕过后缀名验证正确的解决方法是: /// <summary> /// 判断是否IMG文件 bmp/JPEG/GIF/PNG 按前几个字节比较 /// </summary> /// <param name="filename">string扩展&...
关于验证文件扩展名的方法
Huiger1234的博客
05-08 862
为了防止文件无限制上传系统漏洞,需要在后台通过文件头来判断一下文件的扩展名 package com.googosoft.util; import java.io.File; import java.io.FileInputStream; import java.io.FileNotFoundException; import java.io.IOException; import java....
验证文件扩展名的js
上善若水
05-14 255
/**//**        验证文件扩展名是否合法    **/   function  checkFiles(str)   {        var strRegex = "(.jpg|.png|.gif|.ps|.jpeg)$"; //用于验证图片扩展名的正则表达式        var re=new RegExp(strRegex);        if (re.test(str.toL...
判断后缀表达式正确性,并把后缀表达式转为前缀表达式
我的笔记
12-07 1842
转载自:weixin_41133154 https://me.csdn.net/weixin_41133154 指针从最后边扫描起,遇到操作符则存入栈中并且从表达式中删除该操作符,同时标记其匹配的操作数为0,如果遇到操作数,则应该对栈顶的操作符的配对操作数加一,当新来一个操作符时,对前面操作符的操作数配对期望降低,转而对新来的操作符先行配对操作数。当一个操作符成功配对两个操作数时,其配对期望...
java文件类型校验_JAVA对文件类型的校验
weixin_39783156的博客
02-24 950
通常,在WEB系统中,上传文件时都需要做文件的类型校验,大致有如下几种方法:1. 通过后缀名,如exe,jpg,bmp,rar,zip等等。2. 通过读取文件,获取文件的Content-type来判断。3. 通过读取文件流,根据文件流中特定的一些字节标识来区分不同类型的文件。4. 若是图片,则通过缩放来判断,可以缩放的为图片,不可以的则不是。然而,在安全性较高的业务场景中,1,2两种方法的校验会被...
上传图片的验证 验证是否为图片 后缀名验证 (总结)
shaowei213的专栏
04-11 6508
/* * 判断图片类型 * * @param ths * type="file"的javascript对象 * @return true-符合要求,false-不符合 */ function checkImgType(ths){ if (ths.value == "") { alert("请上传图片"); return false; } else { if (!/\.(gif|jpg|jpeg|
JAVA判断上传文件后缀名是否符合规范MultipartFile
飘雪的随笔
04-23 691
【代码】JAVA判断上传文件后缀名是否符合规范MultipartFile。
上传文件校验后缀
weixin_50418353的博客
08-05 680
//上传 <input type="file" ref="filElem" @change="uploadFile" v-if="showing" style="display:none;"/> uploadFile(e) { // 上传文件 const that = this; const file = e.target.files[0]; const reg = ".*\\.(doc|docx|xlsx|xls|jpg|png|pdf|wps)"; //
校验文件后缀java
09-28
校验文件后缀的方法可以使用以下代码片段中的其中一种方法: 1. 获取文件名并截取后缀名: ``` String fileName = file.getOriginalFilename(); String suffixName = fileName.substring(fileName.lastIndexOf("."))...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值