JAVA对文件类型的校验

最新推荐文章于 2024-08-01 02:22:35 发布

boaifeng

最新推荐文章于 2024-08-01 02:22:35 发布

阅读量8.9k

点赞数

文章标签： java file string exception byte office

本文链接：https://blog.csdn.net/boaifeng/article/details/5967059

版权

本文介绍了在WEB系统中进行文件类型校验的方法，强调了通过文件头信息进行校验的安全性和必要性。提供了JAVA代码示例，利用HashMap存储不同文件类型的头部标识，通过读取文件流并进行16进制转换来判断文件类型，防止后缀名和Content-type的伪造。同时提到了针对Office文件的进一步类型判断策略。

摘要由CSDN通过智能技术生成

通常，在WEB系统中，上传文件时都需要做文件的类型校验，大致有如下几种方法：

1. 通过后缀名，如exe,jpg,bmp,rar,zip等等。

2. 通过读取文件，获取文件的Content-type来判断。

3. 通过读取文件流，根据文件流中特定的一些字节标识来区分不同类型的文件。

4. 若是图片，则通过缩放来判断，可以缩放的为图片，不可以的则不是。

然而，在安全性较高的业务场景中，1，2两种方法的校验会被轻易绕过。

1. 伪造后缀名，如图片的，非常容易修改。

2. 伪造文件的Content-type，这个稍微复杂点，

3.较安全，但是要读取文件，并有16进制转换等操作，性能稍差，但能满足一定条件下对安全的要求，所以建议使用。

但是文件头的信息也可以伪造，截图如下，对于图片可以采用图片缩放或者获取图片宽高的方法避免伪造头信息漏洞。

package com.nfschina.utils.file; import java.io.File; import java.io.FileInputStream; import java.util.HashMap; import java.util.Iterator; import java.util.Map; import java.util.Map.Entry; import com.nfschina.utils.BaseException; /*********************************************************************** * * Description: 主要用于判断文件的类型 * ***********************************************************************/ public class FileTools { public final static Map<String, String> FILE_TYPE_MAP = new HashMap<String, String>(); /*-----------------------------目前可以识别的类型----------------------------*/ private static void getAllFileType() { FILE_TYPE_MAP.put("jpg", "FFD8FF"); //JPEG FILE_TYPE_MAP.put("png", "89504E47"); //PNG FILE_TYPE_MAP.put("gif", "47494638"); //GIF FILE_TY