文件上传时,为了安全验证,对于手工改动文件后缀名产生的伪造文件进行判断过滤。我们可以根据文件头来判断该文件究竟是什么文件类型。
以下常见文件头类型(网查可靠待定)
JPEG (jpg),文件头:FFD8FF
PNG (png),文件头:89504E47
GIF (gif),文件头:47494638
TIFF (tif),文件头:49492A00
Windows Bitmap (bmp),文件头:424D
CAD (dwg),文件头:41433130
Adobe Photoshop (psd),文件头:38425053
Rich Text Format (rtf),文件头:7B5C727466
XML (xml),文件头:3C3F786D6C
HTML (html),文件头:68746D6C3E
Email [thorough only] (eml),文件头:44656C69766572792D646174653A
Outlook Express (dbx),文件头:CFAD12FEC5FD746F
Outlook (pst),文件头:2142444E
MS Word/Excel (xls.or.doc),文件头:D0CF11E0
MS Access (mdb),文件头:5374616E64617264204A
WordPerfect (wpd),文件头:FF575043
Postscript (eps.or.ps),文件头:252150532D41646F6265
Adobe Acrobat (pdf),文件头:255044462D312E
Quicken (qdf),文件头:AC9EBD8F
Windows Password (pwl),文件头:E3828596
ZIP Archive (zip),文件头:504B0304
RAR Archive (rar),文件头:52617221
Wave (wav),文件头:57415645
AVI (avi),文件头:41564920
Real Audio (ram),文件头:2E7261FD
Real Media (rm),文件头:2E524D46
MPEG (mpg),文件头:000001BA
MPEG (mpg),文件头:000001B3
Quicktime (mov),文件头:6D6F6F76
Windows Media (asf),文件头:3026B2758E66CF11
MIDI (mid),文件头:4D546864
判断逻辑待码(根据前4个字节判断)
package cn.cslp.dgs.util;
import java.io.File;
import java.io.FileInputStream;
import java.io.InputStream;
import java.util.HashMap;
import java.util.Map;
public class FileCheckUtil {
public final static Map<String, String> FILE_TYPE_MAP = new HashMap<String, String>();
// 可配置在外部配置文件中
public static void init() {
FILE_TYPE_MAP.put("jpg", "ffd8ffe0"); // JPEG (jpg)
FILE_TYPE_MAP.put("png", "89504e47"); // PNG (png)
FILE_TYPE_MAP.put("gif", "47494638"); // GIF (gif)
FILE_TYPE_MAP.put("html", "3c21444f"); // HTML (html)
FILE_TYPE_MAP.put("css", "48544d4c"); // css
FILE_TYPE_MAP.put("js", "696b2e71"); // js
FILE_TYPE_MAP.put("doc", "d0cf11e0"); // MS Excel 注意:word、msi 、 excel、Visio 绘图 的文件头一样
FILE_TYPE_MAP.put("pdf", "25504446"); // (pdf)
FILE_TYPE_MAP.put("zip", "504b0304");
FILE_TYPE_MAP.put("rar", "52617221");
FILE_TYPE_MAP.put("docx", "504b0304");// docx文件
}
static {
init();
}
private FileCheckUtil() {
}
/**
* 启用
* 可配置在外部配置文件中
* @return
*/
private static boolean getStartUsing() {
return true;
}
/**
* 校验type
*
* @param content
* @param fileName
* @return
*/
public static boolean checkFileType(byte[] content, String fileName) {
if (!getStartUsing()) {
return true;
}
if (null == fileName || fileName.equals("")) {
return false;
}
if (null == content || content.length <= 0) {
return false;
}
// 文件后缀
String suffix = fileName.substring(fileName.lastIndexOf(".") + 1);
String realCode = FILE_TYPE_MAP.get(suffix);
if (realCode == null || (realCode = realCode.trim()).length() == 0) {
// 没有配置校验的,直接通过
return true;
}
// 获取文件的前16个字节
String fileCode = getFileFrontCode(content, 16);
if (fileCode.toLowerCase().startsWith(realCode.toLowerCase())) {
// 匹配,通过
return true;
}
// 全都不匹配,校验不通过
return false;
}
/**
* 将文件头转换成16进制字符串
*
* @param 原生byte
* @return 16进制字符串
*/
public static String bytesToHexString(byte[] src) {
StringBuilder stringBuilder = new StringBuilder();
if (src == null || src.length <= 0) {
return null;
}
for (int i = 0; i < src.length; i++) {
int v = src[i] & 0xFF;
String hv = Integer.toHexString(v);
if (hv.length() < 2) {
stringBuilder.append(0);
}
stringBuilder.append(hv);
}
return stringBuilder.toString();
}
/**
* 文件头byte
*
* @param content
* @param num
* @return
*/
private static String getFileFrontCode(byte[] content, Integer num) {
Integer length = Math.min(content.length, num); // 防止copy出现越界
byte[] b = new byte[length];
System.arraycopy(content, 0, b, 0, b.length);
return bytesToHexString(b);
}
public static void main(String[] args) throws Exception {
String p = "D:\\temp\\logs\\pdf\\2.pdf";
byte[] b = new byte[20];
InputStream in = new FileInputStream(new File(p));
in.read(b, 0, 20);
String fileCode = bytesToHexString(b);
System.out.println("截取前:" + fileCode);
System.out.println(checkFileType(b, "2.pdf"));
}
}