如何严格判断文件上传类型?再不会你就out啦!

最新推荐文章于 2024-01-24 14:46:17 发布
最新推荐文章于 2024-01-24 14:46:17 发布
阅读量331 收藏
点赞数 1
分类专栏: 重修 JavaScript 文章标签: 前端 javascript 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55357295/article/details/127601424
版权

文件上传是工作中常见的业务需求,很多情况下,我们需要限制文件的上传类型,比如只能上传图片。通常我们是通过input元素的accept属性来限制文件的类型:

<input id="file" type="file" accept="image/*" />

或者通过截取文件名后缀的方式来判断:

const ext = file.name.slice(file.name.lastIndexOf('.') + 1);

这样做看似没有毛病,但如果把其他文件的后缀名改为图片格式,就可以成功突破这个限制。以上两种方式都不严谨,存在一定的安全隐患。那么应该如何解决这个问题呢?

一、查看文件的头信息

所有文件在计算机中都是以二进制形式进行存储的,但二进制数据是不方便做判断的,我们可以利用 vscode 插件hexdump for VSCode以十六进制的形式查看二进制文件。安装完成后,点击右上角的小图标,即可查看文件的十六进制信息:

那么,我们分别查看一下jpg png gif的十六进制头信息:

多打开几个文件试试,你会发现同一种类型的文件,他们的头信息是完全相同的。接下来,我们就可以根据头信息来判断文件类型了。

二、根据头信息判断文件类型

1. 将文件转为十六进制字符串

在获取文件对象后,我们可以通过FileReader API来读取文件的内容,然后将结果转为Unicode编码,再转为十六进制,以下是我封装的将文件转为十六进制字符串的方法:

async blobToString(blob) {
   
  return new Promise(resolve => {
   
    const reader = new FileReader()
    reader.onload = function() {
   
      const res = reader.result
        .split("") // 将读取结果分割为数组
        .map(v => v.charCodeAt()) // 转为 Unicode 编码
        .map(v => v.toString(16).toUpperCase()
最低0.47元/天 解锁文章
前端阿飞V
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
文件上传时文件类型判断工具类
IT_small bird 的博客
05-26 622
此处以文件扩展名判断,可以通过魔数判断上传文件的类型,不管是传入的文件有后缀名,还是无后缀名,或者修改了后缀名,真正获取到的才是该文件的实际类型,这样避免了一些想通过修改后缀名或者Content-type信息来攻击的因素。 package com.nari.common.utils; /** * @ClassName FileTypeUtil * @Description 文件类型判断工具类 * @Author xxxx * @Date 2020/5/25 17:43 * @Version
判断上传文件的类型
Zhang_h_的博客
06-29 269
//获取已上传文件后缀,判断是否可编辑 getFileSuffix(file) { //获取最后一个.的位置 let index = file.lastIndexOf('.') //获取后缀 let ext = file.substr(index + 1) return ext }, //遍历已上传文件 通过文件后缀判断 添加是否可编辑allowEdit属性 this.processFormData.fileInfoLis
判断文件上传时文件的类型
热门推荐
lpp_dd的博客
01-02 1万+
系统中需要用到文件上传的功能,但是从系统安全的角度上来说需要判断上传文件的格式,防止将病毒木马等有害的文件上传到服务器上。 判断文件类型有三种方式 1、通过文件后缀名 这个方法简单容易,但是也是最容易被欺骗的方法,修改文件的后缀名即可实现欺骗系统。 2、通过Content-Type判断 这个是通过判断文件的MIME类型进行判断,我们在通过form表单上传文件时,在上传的request域里
判断文件上传类型
weixin_30471065的博客
10-14 214
上传的是不是图片 js代码 function test() { var filePath = $("#image").val(); if("" != filePath) { var fileType = getFileType(filePath); //console.log(fileType); //判断上传的附件是否为图片 if("...
文件上传类型判断
dreamstar10201020的专栏
11-11 236
检查上传文件类型: [code="java"]function checkFile(obj){ var extend = obj.value.substring(obj.value.lastIndexOf(".")+1); if(extend==""){ }else{ if(!(extend=="doc")){ al...
java实现上传文件类型检测过程解析
08-25
"Java 实现上传文件类型检测过程解析" Java 实现上传文件类型检测过程解析是指在进行文件上传时,对上传文件的格式进行控制,以防止黑客将病毒脚本上传。单纯的将文件名的类型进行截取的方式非常容易遭到破解,...
使用SQL Server判断文件是否存在后再删除(详解)
09-10
在SQL Server中,有时我们需要对数据库外部的文件进行操作,比如判断文件是否存在或者根据需要删除文件。本篇文章将详细介绍如何使用SQL Server内置的扩展存储过程来实现这一目标,特别是当文件可能包含空格时如何...
java通过文件头内容判断文件类型
04-22
在Java编程中,判断文件类型通常不是通过文件扩展名,而是通过读取文件的头部字节来识别。这是因为有些文件可能没有明确的扩展名,或者扩展名被恶意篡改。文件头内容通常包含特定的标识符,这些标识符是文件格式的...
out文件转hex文件方法
03-16
.OUT文件转换为.HEX文件方法 1. 工具 TI公司提供的hex2000软件 2. 步骤 举例说明将 Powervotex305KTL_MasterV1.0.2.out 转换成Powervortex305KTL_Master_ V1.0.2.hex文件 2.1复制出hex2000,并与xxx.out文件放到同一...
你所不知道的文件上传更安全的类型判断
禅思院
01-18 1505
你所不知道的文件上传更安全的类型判断 前言 在项目的实现过程中,大多数的前端文件上传的的业务需求的实现过程中,就是简单的文件上传,也就是在表面上判断文件的后缀名来实现,例如:图片的校验,只需要判断后缀名为.jpeg、.jpg、.png等等,或者通过原生的html标签限制,如<input type="file" accept="image/*" />或者第三方的UI组件也是这个原理;其实我们都知道,这样的逻辑判断是没有什么问题,也没有任何逻辑问题,这只是在常规的情况下,如果一个黑客,当然不会
前端文件上传识别文件类型的几种方法,快看你是哪个?
最新发布
QD_ANJING的博客
01-24 2569
除了这些之外,我们还可以使用第三方库file-type来实现文件类型检测,这里我们就不再进行 demo 演示了,感兴趣的可以去官方文档中进行查阅。
代码审计:文件上传(文件类型检测)详解
qq_22132931的博客
10-21 282
代码审计:文件上传(文件类型检测)详解
springfox源码_做了个项目扩展 SpringFox 改善 Swagger 文档生成
weixin_39992957的博客
12-21 140
这个项目默认集成了 swagger-ui,也可以配合 swagger-bootstrap-ui 使用。请有空的同学帮忙测试一下,有问题请在这里或 github 返回,谢谢。概述SpringFox是一个优秀的项目,为基于 Spring 的 RestAPI 文档生成提供了强大的支持,另外还具有优秀的扩展机制.SpringFox 原生提供的插件,只能从 Swagger-Annotation 注解中提取描...
判断文件类型,非后缀名的方式
熊诗言的博客
07-27 1万+
上传文件如果不做好安全控制的话,攻击者很有可能上传一些恶意攻击脚本,然后再执行,达到不可告人的目的。于是我们需要判断文件的类型,通常情况下我们只是判断了文件的后缀名,根据文件的后缀名的白名单和黑名单来过滤。这种方式非常不可靠,因为后缀名完全可以伪造。例如exe的伪造成jpg。 通过文件内容的判断文件的类型是目前最可靠的,因为一般根据文件的开头一些字节的特征就能判断这个文件的...
判断上传的文件是否为图片
weixin_34220179的博客
11-24 168
前段时间,公司几年前开发的站点受到了攻击,不是SQL注入的攻击,而是aspxspy的攻击,这是一个ASP的页面,以运行CmdShell的方式来获取服务器的信息,但是以后缀名为jpg的文件保存,将其伪装成图片上传至服务器,然后就开始读取服务器上的所有信息,如果在开发的时候就对服务器上各个文件夹的权限做了详细的设置的话,这个程序倒是没有权限去更改服务器上的文件,但是发生这种情况最根本的源头就是未对上传...
javascript识别上传的文件是否为图片
evilcry2012的专栏
09-26 1万+
javascript识别上传的文件是否为图片 原创 2016年03月10日 13:02:55 2596 0 2        html5在文件这块新增了FileReader接口,同时对file对象(Blob)进行了升级,可以直接拿到文件的类型和大小,所以若是浏览器版本较高支持FileReader,就可以直接取文件list(h5里file
读取input:file的路径并显示本地图片的方法
Tomorrow never comes
09-11 1087
[html] view plaincopyprint? >    html>    head>    meta content="text/html; charset=UTF-8" http-equiv="Content-Type" />    title>Image preview exampletitle>    script type="text/ja
MultipartFile 判断文件类型
08-10
您可以使用Java的MultipartFile类来判断文件类型。以下是一个示例代码: ```java import org.springframework.web.multipart.MultipartFile; public class FileTypeChecker { public static String ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值