【Java】根据头数据判断文件类型,非后缀名判断方式

已于 2022-07-22 12:50:21 修改
阅读量1.9k 收藏 9
点赞数 4
分类专栏: Java 文章标签: java java-ee
于 2021-10-28 20:33:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/javaboyweng/article/details/121022428
版权

       有人说判断文件类型不是挺简单的吗?直接鼠标右键,点击属性,或者直接看后缀名不就完事了。在项目开发中,许多同行都是直接通过文件后缀的方式进行判断(当然不是我自己开发的,我也不愿意去改,哈哈!!)。不是说这样的方式不行,是有点不安全。
       上传文件如果不做好安全控制的话,攻击者很有可能上传一些恶意攻击脚本,然后再执行,达到不可告人的目的。于是我们需要判断文件的类型,通常情况下我们只是判断了文件的后缀名,根据文件的后缀名的白名单和黑名单来过滤。这种方式非常不可靠,因为后缀名完全可以伪造。例如exe的伪造成jpg。就好比你明明是个男的,你说非要天天要做女装大佬,你再怎么像女生,难免是不是有些东西它是改变不了的,一验明正身是不是就都一目了然。
       那么这里我们也是用这种方式去鉴别的。因为那些大佬在设定这些文件的时候 就已经规定了文件的头数据,有时候我们也称之为文件魔法值。只要得到这些文件魔法值,我们就可以判断出它是什么文件了。

下面的魔法值可以放进自己的项目中或者有需要的时候再放入也可以。

private static void getAllFileType()     
    {     
        FILE_TYPE_MAP.put("ffd8ffe000104a464946", "jpg"); //JPEG (jpg)     
        FILE_TYPE_MAP.put("89504e470d0a1a0a0000", "png"); //PNG (png)     
        FILE_TYPE_MAP.put("47494638396126026f01", "gif"); //GIF (gif)     
        FILE_TYPE_MAP.put("49492a00227105008037", "tif"); //TIFF (tif)     
        FILE_TYPE_MAP.put("424d228c010000000000", "bmp"); //16色位图(bmp)     
        FILE_TYPE_MAP.put("424d8240090000000000", "bmp"); //24位位图(bmp)     
        FILE_TYPE_MAP.put("424d8e1b030000000000", "bmp"); //256色位图(bmp)     
        FILE_TYPE_MAP.put("41433130313500000000", "dwg"); //CAD (dwg)     
        FILE_TYPE_MAP.put("3c21444f435459504520", "html"); //HTML (html)
        FILE_TYPE_MAP.put("3c21646f637479706520", "htm"); //HTM (htm)
        FILE_TYPE_MAP.put("48544d4c207b0d0a0942", "css"); //css
        FILE_TYPE_MAP.put("696b2e71623d696b2e71", "js"); //js
        FILE_TYPE_MAP.put("7b5c727466315c616e73", "rtf"); //Rich Text Format (rtf)     
        FILE_TYPE_MAP.put("38425053000100000000", "psd"); //Photoshop (psd)     
        FILE_TYPE_MAP.put("46726f6d3a203d3f6762", "eml"); //Email [Outlook Express 6] (eml)       
        FILE_TYPE_MAP.put("d0cf11e0a1b11ae10000", "doc"); //MS Excel 注意:word、msi 和 excel的文件头一样     
        FILE_TYPE_MAP.put("d0cf11e0a1b11ae10000", "vsd"); //Visio 绘图     
        FILE_TYPE_MAP.put("5374616E64617264204A", "mdb"); //MS Access (mdb)      
        FILE_TYPE_MAP.put("252150532D41646F6265", "ps");     
        FILE_TYPE_MAP.put("255044462d312e350d0a", "pdf"); //Adobe Acrobat (pdf)   
        FILE_TYPE_MAP.put("2e524d46000000120001", "rmvb"); //rmvb/rm相同  
        FILE_TYPE_MAP.put("464c5601050000000900", "flv"); //flv与f4v相同  
        FILE_TYPE_MAP.put("00000020667479706d70", "mp4"); 
        FILE_TYPE_MAP.put("49443303000000002176", "mp3"); 
        FILE_TYPE_MAP.put("000001ba210001000180", "mpg"); //     
        FILE_TYPE_MAP.put("3026b2758e66cf11a6d9", "wmv"); //wmv与asf相同    
        FILE_TYPE_MAP.put("52494646e27807005741", "wav"); //Wave (wav)  
        FILE_TYPE_MAP.put("52494646d07d60074156", "avi");  
        FILE_TYPE_MAP.put("4d546864000000060001", "mid"); //MIDI (mid)   
        FILE_TYPE_MAP.put("504b0304140000000800", "zip");    
        FILE_TYPE_MAP.put("526172211a0700cf9073", "rar");   
        FILE_TYPE_MAP.put("235468697320636f6e66", "ini");   
        FILE_TYPE_MAP.put("504b03040a0000000000", "jar"); 
        FILE_TYPE_MAP.put("4d5a9000030000000400", "exe");//可执行文件
        FILE_TYPE_MAP.put("3c25402070616765206c", "jsp");//jsp文件
        FILE_TYPE_MAP.put("4d616e69666573742d56", "mf");//MF文件
        FILE_TYPE_MAP.put("3c3f786d6c2076657273", "xml");//xml文件
        FILE_TYPE_MAP.put("494e5345525420494e54", "sql");//xml文件
        FILE_TYPE_MAP.put("7061636b616765207765", "java");//java文件
        FILE_TYPE_MAP.put("406563686f206f66660d", "bat");//bat文件
        FILE_TYPE_MAP.put("1f8b0800000000000000", "gz");//gz文件
        FILE_TYPE_MAP.put("6c6f67346a2e726f6f74", "properties");//bat文件
        FILE_TYPE_MAP.put("cafebabe0000002e0041", "class");//bat文件
        FILE_TYPE_MAP.put("49545346030000006000", "chm");//bat文件
        FILE_TYPE_MAP.put("04000000010000001300", "mxp");//bat文件
        FILE_TYPE_MAP.put("504b0304140006000800", "docx");//docx文件
        FILE_TYPE_MAP.put("d0cf11e0a1b11ae10000", "wps");//WPS文字wps、表格et、演示dps都是一样的
        FILE_TYPE_MAP.put("6431303a637265617465", "torrent");
        
          
        FILE_TYPE_MAP.put("6D6F6F76", "mov"); //Quicktime (mov)  
        FILE_TYPE_MAP.put("FF575043", "wpd"); //WordPerfect (wpd)   
        FILE_TYPE_MAP.put("CFAD12FEC5FD746F", "dbx"); //Outlook Express (dbx)     
        FILE_TYPE_MAP.put("2142444E", "pst"); //Outlook (pst)      
        FILE_TYPE_MAP.put("AC9EBD8F", "qdf"); //Quicken (qdf)     
        FILE_TYPE_MAP.put("E3828596", "pwl"); //Windows Password (pwl)         
        FILE_TYPE_MAP.put("2E7261FD", "ram"); //Real Audio (ram)     
    }

那么以下就是楼主平时拿来搞事情判断文件是什么类型的代码,挺好用的

/**
*@discrption:魔数工具类
*@user:Gaby
*@createTime:2020-01-11 23:58
*/
public class MagicNumberUtil {

    /**
     * 图片的魔数值
     */
    private final static Map<String, String> IMAGE_TYPE = new HashMap(4) {{
        put("89504e470d", "png");
        put("ffd8ffe000", "jpg");
        put("89504e", "png");
        put("ffd8ff", "jpg");
    }};

    private final static Map<String, String> VIDEO_TYPE = new HashMap(2) {{
        put("000000", "mp4");
    }};
    private final static Map<String, String> AUDIO_TYPE = new HashMap(2) {{
        put("000000", "m4a");
        put("232141", "mp3");
        put("7b2265", "amr");
    }};
    
    //取16位的编码
    public static String getHex(byte[] data,int magicNumberLength){
        StringBuilder sb = new StringBuilder();
        for (int i = 0; i <magicNumberLength/2; i++) {
            sb.append(Integer.toHexString(data[i] >> 4 & 0xF));
            sb.append(Integer.toHexString(data[i] & 0xF));
        }
        return sb.toString().toLowerCase();
    }

    /**
     * 是否是视频格式
     * @param data
     * @return
     */
    public static boolean isVideoFormat(byte[] data){
        //默认取10位作为魔数值
        return VIDEO_TYPE.keySet().contains(getHex(data,6));
    }

    /**
     * 是否是音频
     * @param data
     * @return
     */
    public static boolean isAudio(byte[] data) {
        return isAudio(getHex(data, 6));
    }

    /**
     * 是否是音频 重载
     * @param hex
     * @return
     */
    public static boolean isAudio(String hex) {
        return AUDIO_TYPE.keySet().contains(hex);
    }
	
    //取图片后缀
    public static String getSuffix(String hex) {
        if (IMAGE_TYPE.containsKey(hex)) {
            return IMAGE_TYPE.get(hex);
        }
        return null;
    }
	
    //取音频后缀
    public static String getAudioSuffix(String hex) {
        if (AUDIO_TYPE.containsKey(hex)) {
            return AUDIO_TYPE.get(hex);
        }
        return null;
    }
}

这样,不管是传入的文件有后缀名,还是无后缀名,或者修改了后缀名,真正获取到的才是该文件的实际类型,这样避免了一些想通过修改后缀名或者Content-type信息来攻击的因素。但是性能与安全永远是无法同时完美的,安全的同时付出了读取文件的代价。本人建议可采用后缀名与读取文件的方式结合校验,毕竟攻击是少数,后缀名的校验能排除大多数用户,在后缀名获取不到时再通过获取文件真实类型校验,这样来适当提高性能。

杰肥啊
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
判断文件的真实类型
07-03
有些软件通过改变文件的扩展名隐藏文件的真实类型。例如,有些游戏的音乐和动画其实是标准的MID和AVI文件,只要把扩展名改回来,就能直接播放。现在编写一个程序,使它从一个配置文件中获得字符串与文件类型的对应表,然后判断用户指定的文件的真实类型
java如何实现判断文件的真实类型
08-29
Java判断文件真实类型常重要的,因为在文件传输过程中,为了安全验证,对于手工改动文件后缀名产生的伪造文件进行判断过滤。Java判断文件真实类型依靠的是文件的头部编码信息。 一、文件头信息 文件头是位于...
MultipartFile上传文件根据魔数来判断上传文件格式,不要再用后缀进行判断
最新发布
u013531166的博客
03-13 1396
举个例子,常见的JPEG图像文件的魔数是FF D8 FF,PDF文件的魔数是25 50 44 46,ZIP文件的魔数是50 4B 03 04等等。文件魔数(Magic Number)是文件的一小部分数据,通常是文件的头部字节,用来识别文件类型。每种文件类型都有其特定的魔数,这些魔数是固定的,并且不同文件类型的魔数通常是不同的。我们判断一个上传文件的格式,大多数会进行后缀判断,可是文件后缀格式可以修改,所以很容易绕过判断,那么今天就给大家讲一下魔数判断文件格式的代码和方法。
java文件类型校验_JAVA文件类型的校验
weixin_39783156的博客
02-24 879
通常,在WEB系统中,上传文件时都需要做文件类型校验,大致有如下几种方法:1. 通过后缀名,如exe,jpg,bmp,rar,zip等等。2. 通过读取文件,获取文件的Content-type来判断。3. 通过读取文件流,根据文件流中特定的一些字节标识来区分不同类型文件。4. 若是图片,则通过缩放来判断,可以缩放的为图片,不可以的则不是。然而,在安全性较高的业务场景中,1,2两种方法的校验会被...
java 获取文件的真实类型(不是根据文件后缀名称判断类型)
zxl782340680的博客
09-09 2411
java 获取文件的真实类型(不是根据文件后缀名称判断类型) import org.apache.commons.io.FileUtils; import org.apache.commons.io.FilenameUtils; import org.apache.commons.lang.StringUtils; import java.io.*; import java.util.Scanner; import java.util.zip.ZipEntry; import java.util.zi
Java 对上传文件进行魔数校验
Charge8的博客
07-09 4716
魔数这个词在不同领域代表不同的含义。在计算机领域,魔数有两个含义,一指用来判断文件类型的魔数(magic number);二指程序代码中的魔数,也称魔法值。 不是所有文件都有文件头的.一个.txt类型文件是一个纯文本文件,没有文件头。 参考文章: 百科 魔数 Java 通过魔数判断上传文件类型 项目中接到魔数校验的需求,这篇文章(Java 通过魔数判断上传文件类型)对我理解很有帮助,在此基础上,我重新写了工具类的处理,通过文件路径或者文件流获取文件类型文件类型与对应的文件魔数枚举类).
JAVA 根据Url 接口 获取文件名称和类型
05-23
JAVA 根据Url 接口 获取文件名称和类型,亲测可用。输入参数地址即可。
Java使用FilenameFilter查找出目录下指定后缀文件示例
08-25
在accept方法中,我们通过文件名的后缀判断文件是否满足过滤规则。如果文件名最后一个‘.’字符的索引大于0,我们就截取文件名的后缀,并将其与filterRule进行比较。如果两者相同,我们就返回true,否则返回false...
文件类型判断
04-05
可以用于识别google浏览器临时文件夹下的没有文件后缀名的文件,还可以用于更正某些网站为了不让大家看的cgi文件类型,以恢复文件类型真实面貌。 增加有文件顺序命名功能,方便大家整理文件。 大家可以看这个...
java实现输出文件夹下某个格式的所有文件实例代码
08-27
3. 文件后缀判断:在Java中,我们可以使用String类的endsWith()方法来判断文件后缀名是否符合条件。在本代码中,我们使用了endsWith()方法来判断文件后缀名是否为.jpg。 4. 文件删除:在Java中,我们可以使用...
java读取文件头部内容_java通过文件头内容判断文件类型
weixin_39933895的博客
02-27 902
/*** byte数组转换成16进制字符串* @param src* @return*/public static String bytesToHexString(byte[] src){StringBuilder stringBuilder = new StringBuilder();if (src == null || src.length <= 0) {return null;}for...
判断上传文件类型通过文件后缀名称,不安全)
qq_33172029的博客
11-19 6876
1)情况:网上某些人,居然通过文件名.后缀判断文件类型,这样太不安全了,万一别人有心修改文件后缀名称,岂不是。。。 所以为了防止这样情况,判断文件的实际类型,做了该文章,若有错误或不足,请指出讨论,常感谢! OK,废话少说,直接主题,show me the code! 2)代码: 2.1)通过枚举类,管理不同类型文件文件头(具体每个文件文件头内容,可以通过UltraEdit工具打开...
Java解析Excel文件(.xlsx和.xls格式均适用) 转载
xiaomoyao的博客
08-03 363
Java解析Excel文件 maven项目引入依赖 1、Excel文件依赖 Excel文件的解析与读取普通的文本文件不同,就像xml文件的解析,最常用的Java4J方式也是jar包支持的, 根据apache官方文档:http://poi.apache.org/spreadsheet/index.html,“Also please be aware that as the new XSSF supp...
如何判断没有后缀文件类型
LuckyWinty的博客
02-02 3392
点击上方前端Q,关注公众号回复加群,加入前端Q技术交流群来源 | https://segmentfault.com/a/1190000041236429正常情况下,文件都有后缀名,例如:...
Java里面的判断 MultipartFile的文件类型
热门推荐
weixin_43889681的博客
05-21 4万+
在项目当中运用了MultipartFile文件:具体的sdk是: https://www.cnblogs.com/chenhonggao/p/8994598.html 根据上传MultipartFile来判断判断文件类型: public Response<Object> excelin(@RequestParam("file") MultipartFile file) throws...
Multipartfile判断文件类型的简单处理办法。
GinChou的萌新博客
12-18 5505
这样在判断 docx 和xlsx 以及其他需要使用的文件的时候就可以分别区分了。
Java如何判断一个上传文件的内容类型
jimmyleeee的专栏
04-18 8331
关于如何判断一个文件类型,在如何判断一个文件类型_jimmyleeee的博客-CSDN博客已经介绍了,但是在实际运用于真正的文件上传时,还是有些注意事项需要注意的。 在进入主题之前,首先需要简单介绍一下MultipartFile这个类,通过getOriginalFilename()获取文件的名字,但是这个名字只是上传文件的名字,通过这个名字是无法访问到这个文件的。以下是测试时的debug信息: 可以看到MultipartFile类中,有filename,有filelocation,甚至还有临时.
SpringBoot中 判断上传的文件类型 MultipartFile file
paohui001lqp的博客
01-28 1万+
最新项目中有遇到 对于上传文件类型判断 我们需要上传的文件是 excel类型的 原来我的做法很简单 就是 获取文件名然后去判断 后缀名是否是 .xls 或者是 .xlsx 类型 //判断文件类型是否正确 String originalFilename = file.getOriginalFilename(); String fileType = originalFilename.substring(originalFilename.last...
java 判断文件为音频文件 全部实现
06-08
判断文件为音频文件可以通过文件后缀名或文件的内容来实现。以下是两种方法的具体实现: 1. 通过文件后缀判断Java 中,可以通过 File 类中的 getName() 方法获取文件名,使用 String 类中的 endsWith() 方法判断文件名是否以指定的后缀名结尾。常见的音频文件后缀名有 .mp3、.wav、.flac、.aac 等。 示例代码: ```java import java.io.File; public class AudioFileChecker { public static boolean isAudioFile(File file) { String fileName = file.getName(); return fileName.endsWith(".mp3") || fileName.endsWith(".wav") || fileName.endsWith(".flac") || fileName.endsWith(".aac"); } } ``` 2. 通过文件内容判断 通过文件内容判断需要读取文件的二进制数据,然后根据音频文件的特征码判断是否为音频文件。以 MP3 文件为例,MP3 文件的特征码为 "ID3"。 示例代码: ```java import java.io.File; import java.io.FileInputStream; import java.io.IOException; public class AudioFileChecker { public static boolean isAudioFile(File file) { try (FileInputStream fis = new FileInputStream(file)) { byte[] buffer = new byte[3]; fis.read(buffer); String fileHeader = new String(buffer); return fileHeader.equals("ID3"); } catch (IOException e) { e.printStackTrace(); return false; } } } ``` 以上两种方法都可以用来判断文件是否为音频文件,具体使用哪种方法取决于实际需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

杰肥啊

你的鼓励是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值