【知识点】文件头部校验

最新推荐文章于 2023-11-08 16:08:14 发布
最新推荐文章于 2023-11-08 16:08:14 发布
阅读量3k 收藏 11
点赞数 2
分类专栏: java web基础 小技巧 文章标签: javaee java spring boot 安全漏洞 spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37344350/article/details/104854273
版权

【知识点】:上传文件时只校验大小和后缀是不够的;应该校验上传文件的头部信息;同一文件类型的头部信息是一样的。

我们在开发的时候经常会有很多上传文件的操作,我们一般的做法是控制文件的大小和类型,而控制文件类型最常用的方式是前后端对上传文件的后缀进行判断。

但这种做法防控不了那种修改后缀上传的文件。

先看几种常见文件的头部信息,如果项目中有用到其他类型的话可以在网上搜索一下。

文件类型 头部信息
png 89504E47
gif 47494638
tif 49492A00
xls_or_doc D0CF11E0
pdf 25504446
rar 52617221
zip 504B0304

下面是一个springboot小项目,通过swagger-ui调用接口来模拟如何通过文件头部来获取文件的类型。

1. 通过file获取到文件流inputstream

/**
 * 上传文件,返回文件类型
 * @param file
 * @return
 */
@PostMapping(value="/testUploadFile",headers="content-type=multipart/form-data")
@ApiOperation(value="testUploadFile",notes="testUploadFile",response=String.class,httpMethod="POST")
public String testUploadFile(@RequestParam("file") @ApiParam(value="file",required = true) MultipartFile file){
   

	String fileType = null;
	try {
   
		InputStream inputStream = file.
最低0.47元/天 解锁文章
一辈子的码农先生
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
软考中级网络工程师备考知识
05-07
IP报头包括版本、首部长度、服务类型、总长度、标识、标志、片偏移、生存时间、协议、头部校验和、源IP和目的IP地址。TCP报头包括源端口和目的端口、序号、确认号、数据偏移、保留、标志位(如SYN、ACK、FIN等)、...
SpringBoot文件上传控制及Java 获取和判断文件头信息
08-28
主要介绍了SpringBoot文件上传控制的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
10-java实现对上传文件做安全性检查
CAT
03-14 9250
文件安全性检查
文件上传之文件头检测绕过上传
最新发布
2301_79299101的博客
11-08 499
1,有的文件上传,上传时候会检测头文件,不同的文件,头文件也不尽相同。常见的文件上传图片头检测 它检测图片是两个字节的长度,如果不是图片的格式,会禁止上传。这个是存在文件头检测的上传,getReailFileType 是检测jpg、png、gif 的文件头 如果上传的文件符合数字即可通过检测。1.制作图片一句话,使用 copy 1.gif/b+s.php shell.php 将php 文件附加再jpg图片上,直接上传即可。并且将后缀名改成gif。
xml 文件打开全是null 怎么让它正常显示_《那些年JavaWeb踩过的坑》ssh框架整合配置文件路径(错误笔记)...
weixin_39979167的博客
11-23 177
开发工具-intellij IDEA问题背景使用spring整合struts2框架,启动工程报错控制台显示部署项目时出错,在日志中查找原因打开日志找原因找到最上面的错误信息信息显示无法打开spring的核心配置文件,这个文件的路径应该是在这个路径下/WEB-INF/applicationContext.xml但是我们却是放在这个单独的文件夹里面的,但是明明单独测试spring的时候放在这里就可以啊...
【后端检测-绕过】文件头检测绕过、二次渲染绕过
07-03 5292
【后端检测-绕过】
计算机网络知识点总结.pdf
12-22
以下是根据提供的文件内容总结的一些关键知识点: 1. **路由器**:作为网络核心部分的关键设备,路由器执行分组交换,负责将数据包从源地址转发到目的地址,同时处理路由选择和网络间的数据传输。 2. **网络协议**...
udp.zip_udp 文件传输
09-21
在"udp.zip_udp 文件传输"中,我们可能会看到以下关键知识点: 1. UDP协议基础:理解UDP协议的基本结构和工作原理,包括UDP头部的构成(源端口号、目的端口号、长度和校验和)以及其无连接、不可靠的特性。 2. ...
根据url下载文件
04-15
以下是一个详细的C#从URL下载文件知识点概述: 1. **HTTP请求**: - 使用`System.Net.WebClient`类是最简单的下载方法。创建WebClient对象,然后调用`DownloadFile`方法,传入URL和本地保存路径。 ```csharp ...
网络文件进度传输.rar
03-28
网络文件进度传输是互联网通信中一个重要的技术...理解和掌握这些知识点对于优化网络传输效率、保证文件完整性和安全性具有重要意义。在实际应用中,开发者需要综合考虑各种因素,设计出高效且可靠的文件传输解决方案。
断点续传——断点文件上传
08-03
在实现断点续传的过程中,通常涉及到以下几个关键知识点: 1. **文件分片**:首先,客户端(通常是浏览器)将大文件分成若干个小块,每一块称为一个“片”或“分片”。分片的目的是便于管理和上传,同时也能降低...
网络文件服务程序
12-16
文件被分割成多个数据包,每个数据包包含文件的一部分和必要的头部信息,如序列号和校验和。服务器接收到数据包后,按照正确的顺序重新组合成原始文件。 6. **错误处理和异常处理**:在网络通信中,可能会遇到各种...
易语言源码易语言PE校验修正源码.rar
03-30
该源码利用易语言的特性来处理PE文件校验和修正,这涉及到以下几个关键知识点: 1. **PE文件结构**:源码中会涉及到PE文件头部结构,如MZ标志、PE标志、NT头、节表等,这些都是PE文件的基本组成部分,用于指示...
java xml transformer_Java xml出现错误 javax.xml.transform.TransformerException: java.lang.NullPointerExc...
weixin_39966922的博客
02-16 404
Java xml出现错误 javax.xml.transform.TransformerException: java.lang.NullPointerException解决办法:利用Java操作XML,在操作XML过程中,执行到最后一步,在利用Transformer进行XML转换时出现NullPointerException错误,出问题的部分代码如下:运行到transform函数时出现以下错误(...
本地上传Excel文件前台格式校验
Eternal_Summer
04-10 1088
本地上传Excel文件前台格式校验 <el-upload action="/ordersetting/upload.do" name="excelFile" :show-file-list="false" :on-success="handleSuccess" :before-upload="beforeUpload"> <el-button type="primary">上传文件</el-button> </el-uploa
电脑死机,notepad++内文件变成null,而且没有备份文件的解决方法!!!
qq_42602936的博客
03-27 6798
由于公司突然停电,电脑突然关闭,在notepad++中辛苦写好的代码没有保存全部变成了一大串null。。。 如下图: 根据网上方法,查找notepad++中的备份文件,发现根本没有我想恢复的那个文件,顿时心凉了半截。 后来在另一篇文章里找的了解决方法: 首先下载文件恢复软件:recuva 下载地址: 下载好安装打开软件,可以设置语音为中文: 然后打开选项中的动作,勾选扫描未删除文件,然后开始扫...
文件上传绕过】十三—十五、文件头内容校验文件类型绕过
ssrf
10-12 2963
文章目录一、文件幻数介绍二、制作图片木马三、上传图片马四、本地搭建任意文件包含五、文件包含图片马 一、文件幻数介绍 这种方法利用的是每一个特定类型的文件都会有不太一样的开头或者标志位。可以通过比如php的exif_imagetype()/getimagesize()函数,一个通过这种方法来过滤的示例代码如下: if (! exif_imagetype($_FILES['uploadedfile']['tmp_name'])) { echo "File is not an image";
VisualC网络编程实战:FTP客户端详解
本资源提供的案例实战主要涉及以下几个关键知识点: 1. FTP客户端的基本功能: - 登录服务器:客户端需要向服务器发送用户名和密码进行身份验证。 - 文件操作:包括上传文件到服务器、从服务器下载文件,以及可能...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值