判断文件上传时文件的类型

最新推荐文章于 2024-03-13 16:37:12 发布
最新推荐文章于 2024-03-13 16:37:12 发布
阅读量1.8w 收藏 19
点赞数 1
分类专栏: javaWeb java基础 文章标签: java文件上传 文件类型判断 MIME
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lpp_dd/article/details/78954297
版权

系统中需要用到文件上传的功能,但是从系统安全的角度上来说需要判断上传文件的格式,防止将病毒木马等有害的文件上传到服务器上。

判断文件类型有三种方式

1、通过文件后缀名

这个方法简单容易,但是也是最容易被欺骗的方法,修改文件的后缀名即可实现欺骗系统。

2、通过Content-Type判断

这个是通过判断文件的MIME类型进行判断,我们在通过form表单上传文件时,在上传的request域里面会获取当前文件的MIME类型,我们可以通过控制接收文件的MIME类型进行判断。spring为我们提供了注解方式进行判断:

@RequestMapping(value = "/users", method = RequestMethod.POST, consumes="application/json", produces="application/json")
consumes参数就是用来控制接收文件的Content-Type的。
具体的详情在下面的博客里面有详细的介绍:

http://blog.csdn.net/blueheart20/article/details/45174399

这个方法如果通过抓包的形式进行修改类型也不安全。

安全问题详解:

https://www.cnblogs.com/dunitian/p/5645339.html
注意:现在遇见一个问题就是在angular框架下通过consumes参数进行控制上传文件类型时,当错误类型时会产生415(不被允许的多媒体类型),但是正确类型时,会产生ERROR_CONNECTION_RESET连接重定向错误。(待解决)

3、通过文件流判断文件头

这个是我用在系统中的方法

实例代码如下:

(1)、获取文件头代码

     /** 
     * 将文件头转换成16进制字符串 
     *  
     * @param 原生byte 
     * @return 16进制字符串 
     */  
    private static String bytesToHexString(byte[] src) {  
  
        StringBuilder stringBuilder = new StringBuilder();  
        if (src == null || src.length <= 0) {  
            return null;  
        }  
        for (int i = 0; i < src.length; i++) {  
            int v = src[i] & 0xFF;  
            String hv = Integer.toHexString(v);  
            if (hv.length() < 2) {  
                stringBuilder.append(0);  
            }  
            stringBuilder.append(hv);  
        }  
        return stringBuilder.toString();  
    }
(2)、调用方法 
InputStream inputStream = new FileInputStream("path");
byte[] bytes = new byte[6];
inputStream.read(bytes,0,bytes.length);
bytesToHexString(bytes);
(3)、获取文件头与指定文件头进行对比

例如:WAV("57415645")

经过这三个方式,对于文件上传的安全进行了保护,能够满足大部分系统。


开着小马奔腾哟
关注
  • 1
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
js判断上传文件类型判断FileUpload文件类型代码
10-25
主要介绍了js判断上传文件类型判断FileUpload文件类型代码,需要的朋友可以参考下
java实现上传文件类型检测过程解析
08-25
主要介绍了java实现上传文件类型检测过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
java上传文件校验文件后缀名、文件大小、文件名字【非常详细】
lh155136的博客
08-29 6606
这个是公共方法,在需要上传的接口controller中调用即可。废话不多说,直接上代码。
MultipartFile上传文件根据魔数来判断上传文件格式,不要再用后缀进行判断
最新发布
u013531166的博客
03-13 928
举个例子,常见的JPEG图像文件的魔数是FF D8 FF,PDF文件的魔数是25 50 44 46,ZIP文件的魔数是50 4B 03 04等等。文件魔数(Magic Number)是文件的一小部分数据,通常是文件的头部字节,用来识别文件类型。每种文件类型都有其特定的魔数,这些魔数是固定的,并且不同文件类型的魔数通常是不同的。我们判断一个上传文件的格式,大多数会进行后缀判断,可是文件的后缀格式可以修改,所以很容易绕过判断,那么今天就给大家讲一下魔数判断文件格式的代码和方法。
JavaScript判断文件上传类型的方法
10-25
主要介绍了JavaScript判断文件上传类型的方法,可实现针对重复的内容也能触发onchange事件,需要的朋友可以参考下
Java 通过魔数判断上传文件类型
weixin_45636743的博客
03-21 1655
使用魔数值校验,不管是传入的文件有后缀名,还是无后缀名,或者修改了后缀名,真正获取到的才是该文件的实际类型,这样避免了一些想通过修改后缀名或者Content-type信息来攻击的因素。但是性能与安全永远是无法同完美的,安全的同付出了读取文件的代价。本人建议可采用后缀名与读取文件的方式结合校验,毕竟攻击是少数,后缀名的校验能排除大多数用户,在后缀名获取不到再通过获取文件真实类型校验,这样来适当提高性能。
SpringBoot上传文件类型检测
xyz
10-24 8075
判断文件类型的三种方式 1.通过文件后缀名 这个方法只要修改后缀名就可以了 2.通过Content-Type判断 由于Content-Type取决于文件类型, 文件类型取决于文件扩展名, 所以改变 了文件扩展名也就改变了Content-Type 3.通过文件判断文件 即使文件扩展名改变了文件头也不会改变
上传文件并进行判断
2201_75550056的博客
05-21 207
​ 我们都知道,普通的文件后缀校验并不能校验出这个文件类型,大部分的文件类型校验都是通过获取文件的魔数来判断文件类型,因为对于大多数类型文件来说他的魔数是固定的(例如class文件的魔数就是:CA FE )所以目前大部分网络上找到的处理方案是将各个文件的魔数放倒Map集合中,然后通过获取文件的魔数,从Map集合查找对应的文件类型。但是同类型文件的魔数真的都是固定的么?通过tika自带的detect()方法我们可以对查找出来文件真实的mime类型(mime类型是前面是文件的大类型,后面是文件的小类型)
如何判断一个文件类型
jimmyleeee的专栏
04-18 8122
在文章应用安全系列之二十四:文件上传_jimmyleeee的博客-CSDN博客描述了上传文件需要判断文件的几个方面,其中一个就是文件类型,当然,如果要根据文件的后缀判断,也能满足大部分需求,如果确实需要判断文件类型,或者某些文件没有扩展名,就会遇到麻烦。 Java提供了集中方法来判断一个文件类型,其中比较常用的方法是:Files.probeContentType,但是,它有一个缺点就是,当文件没有扩展名,返回的结果是null,下面是一个使用这个方法的代码: public class T
前端文件上传识别文件类型的几种方法,快看你是哪个?
QD_ANJING的博客
01-24 1622
除了这些之外,我们还可以使用第三方库file-type来实现文件类型检测,这里我们就不再进行 demo 演示了,感兴趣的可以去官方文档中进行查阅。
php 文件上传后缀名与文件类型对照表(几乎涵盖所有文件)
12-17
网上有很多php文件上传的类,文件上传处理是php的一个特色(至少手册上是将此作为php特点来展示的,个人认为php在数组方面的优异功能更有特色),学php的人都知道文件上传怎么做,但很多人在编程中却可能忽视了一些细节问题,那就是文件类型(MIME)。在表单将文件提交给php做处理之前,浏览器会先解析识别一边是什么类型文件,之后进入php处理环节,php又会去识别解析此文件的原始类型(并不是说你改成什么后缀就是什么文件)。在这个过程中会有一些浏览器兼容,更准确来说是文件类型解析标识不一致的问题。这样在php处理Post过来的文件类型就需要根据不同浏览器做更多的判断,最典型的就是IE和火狐
js 实现 判断上传文件类型
03-30
js 实现 判断上传文件类型! 值得下载看看!资源免费,大家分享!!
PHP判断上传文件类型的解决办法
12-18
分享给大家php判断上传文件类型的方法,大家一起学习学习。 /** * 读取文件前几个字节 判断文件类型 * @return String */ function checkTitle($filename){ $file=fopen($filename, "rb"); $bin=fread($file, 2); //只读2字节 fclose($file); $strInfo =@unpack("c2chars", $bin); $typeCode=intval($strInfo['chars1'].$strInfo['chars2']); $fileType='';
ASP.net判断上传文件类型的三种有效方法
10-26
主要介绍了用ASP.net判断上传文件类型的三种方法,需要的朋友可以参考下
自动识别上传文件客户端
08-12
识别固定目录下的文件并上传,带有配置界面,可选文件目录、上传文件类型、上传路径、上传频率,部分配置属性需要密码校验,Winform形式,易于安装
C#检测上传文件真正类型的方法
09-03
主要介绍了C#检测上传文件真正类型的方法,可有效的防止用户通过修改后缀名来改变文件类型的功能,需要的朋友可以参考下
ASP.net判断上传文件类型的三种方法
12-22
一、安全性比较低,把文本文件1.txt改成1.jpg照样可以上传,但其实现方法容易理解,实现也简单,所以网上很多还是采取这种方法。  Boolean fileOk = false;  string path = Server.MapPath("~/images/");  //...
JavaScript判断FileUpload控件上传文件类型
11-25
为了代码变得更加简捷,笔者使用了正则表达式来获取文件扩展名,如果读者对正则表达式不太了解或者从来没有接触过,请马上恶补一下吧!毕竟它非常重要,大多数的编程语言...JS判断文件类型-乐猪网</title> <
java 文件上传 文件类型判断
04-05
在进行文件上传,需要对文件类型进行判断,以防止上传不合法的文件。以下是一种基于文件后缀名的文件类型判断方法: ```java // 获取文件后缀名 String suffix = filename.substring(filename.lastIndexOf(".") + 1); // 判断文件类型 if ("jpg".equalsIgnoreCase(suffix) || "jpeg".equalsIgnoreCase(suffix) || "png".equalsIgnoreCase(suffix)) { // 允许上传的图片类型 } else if ("doc".equalsIgnoreCase(suffix) || "docx".equalsIgnoreCase(suffix) || "pdf".equalsIgnoreCase(suffix)) { // 允许上传的文档类型 } else { // 不允许上传的文件类型 } ``` 上述代码中,先获取文件名的后缀名,然后根据后缀名判断文件类型。在判断文件类型,可以根据实际需求添加或修改允许上传的文件类型

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值