记一次小技巧:
我们在做文件上传时会对比文件得后缀名比如.txt,但是假如用户恶意将其他格式得文件通过修改后缀名改为txt上传,则大大影响安全。
所以可通过文件得字节码判断文件得真实类型。
1.定义一下文件头的字节码:
//文件的字节码头
public enum FileType {
/**
* JEPG.
*/
JPEG("FFD8FF"),
/**
* PNG.
*/
PNG("89504E47"),
/**
* GIF.
*/
GIF("47494638"),
/**
* TIFF.
*/
TIFF("49492A00"),
TXT("6C657420"),
/**
* Windows Bitmap.
*/
BMP("424D"),
/**
* CAD.
*/
DWG("41433130"),
/**
* Adobe Photoshop.
*/
PSD("38425053"),
/**
* Rich Text Format.
*/
RTF("7B5C727466"),
/**
* XML.
*/
XML("3C3F786D6C"),
/**
* HTML.
*/
HTML("68746D6C3E"),
/**
* Email [thorough only].
*/
EML("44656C69766572792D646174653A"),
/**
* Outlook Express.
*/
DBX("CFAD12FEC5FD746F"),
/**
* Outlook (pst).
*/
PST("2142444E"),
/**
* MS Word/Excel.
*/
XLS_DOC("D0CF11E0"),
/**
* MS Access.
*/
MDB("5374616E64617264204A"),
/**
* WordPerfect.
*/
WPD("FF575043"),
/**
* Postscript.
*/
EPS("252150532D41646F6265"),
/**
* Adobe Acrobat.
*/
PDF("255044462D312E"),
/**
* Quicken.
*/
QDF("AC9EBD8F"),
/**
* Windows Password.
*/
PWL("E3828596"),
/**
* ZIP Archive.
*/
ZIP("504B0304"),
/**
* RAR Archive.
*/
RAR("52617221"),
/**
* Wave.
*/
WAV("57415645"),
/**
* AVI.
*/
AVI("41564920"),
/**
* Real Audio.
*/
RAM("2E7261FD"),
/**
* Real Media.
*/
RM("2E524D46"),
/**
* MPEG (mpg).
*/
MPG("000001BA"),
/**
* Quicktime.
*/
MOV("6D6F6F76"),
/**
* Windows Media.
*/
ASF("3026B2758E66CF11"),
GZ("1F8B08"),
/**
* MIDI.
*/
MID("4D546864");
}
2.获取文件字节码的前N位(因为文件类型的长度不同,所以获取前20位,如果是图片等可以只获得更少位数):
/**
* @description 第一步:获取文件输入流
* @param filePath
* @throws IOException
*/
private static String getFileContent(String filePath) throws IOException {
byte[] b = new byte[20];
InputStream inputStream = null;
try {
inputStream = new FileInputStream(filePath);
/**
* int read() 从此输入流中读取一个数据字节。int read(byte[] b) 从此输入流中将最多 b.length
* 个字节的数据读入一个 byte 数组中。 int read(byte[] b, int off, int len)
*从此输入流中将最多 len 个字节的数据读入一个 byte 数组中。
* 之所以从输入流中读取20个字节数据,是因为不同格式的文件头魔数长度是不一样的,比如 EML("44656C69766572792D646174653A")和GIF("47494638")
* 为了提高识别精度所以获取的字节数相应地长一点
*/
inputStream.read(b, 0, 20);
} catch (IOException e) {
e.printStackTrace();
throw e;
} finally {
if (inputStream != null) {
try {
inputStream.close();
} catch (IOException e) {
e.printStackTrace();
throw e;
}
}
}
return bytesToHexString(b);
}
3.因为字节码头也是有可能被篡改的,所以将头部转换成16进制
/**
* @description 第二步:将文件头转换成16进制字符串
* @param
* @return 16进制字符串
*/
private static String bytesToHexString(byte[] src){
StringBuilder stringBuilder = new StringBuilder();
if (src == null || src.length <= 0) {
return null;
}
for (int i = 0; i < src.length; i++) {
int v = src[i] & 0xFF;
String hv = Integer.toHexString(v);
if (hv.length() < 2) {
stringBuilder.append(0);
}
stringBuilder.append(hv);
}
System.out.println("文件类型16进制字符串是"+stringBuilder.toString());
return stringBuilder.toString();
}
4.对比
/**
* @description 第三步:根据十六进制字符串判断文件类型格式
* @param filePath 文件路径
* @return 文件类型
*/
public static FileType getType(String filePath) throws IOException {
String fileHead = getFileContent(filePath);
if (fileHead == null || fileHead.length() == 0) {
return null;
}
fileHead = fileHead.toUpperCase();
FileType[] fileTypes = FileType.values();
for (FileType type : fileTypes) {
// startsWith() 方法用于检测字符串是否以指定的前缀开始
if (fileHead.startsWith(type.getValue())) {
return type;
}
}
return null;
}
}