【知识点】:上传文件时只校验大小和后缀是不够的;应该校验上传文件的头部信息;同一文件类型的头部信息是一样的。
我们在开发的时候经常会有很多上传文件的操作,我们一般的做法是控制文件的大小和类型,而控制文件类型最常用的方式是前后端对上传文件的后缀进行判断。
但这种做法防控不了那种修改后缀上传的文件。
先看几种常见文件的头部信息,如果项目中有用到其他类型的话可以在网上搜索一下。
文件类型 | 头部信息 |
---|---|
png | 89504E47 |
gif | 47494638 |
tif | 49492A00 |
xls_or_doc | D0CF11E0 |
25504446 | |
rar | 52617221 |
zip | 504B0304 |
下面是一个springboot小项目,通过swagger-ui调用接口来模拟如何通过文件头部来获取文件的类型。
1. 通过file获取到文件流inputstream
/**
* 上传文件,返回文件类型
* @param file
* @return
*/
@PostMapping(value="/testUploadFile",headers="content-type=multipart/form-data")
@ApiOperation(value="testUploadFile",notes="testUploadFile",response=String.class,httpMethod="POST")
public String testUploadFile(@RequestParam("file") @ApiParam(value="file",required = true) MultipartFile file){
String fileType = null;
try {
InputStream inputStream = file.