Java对上传的图片进行格式校验以及安全性校验

最新推荐文章于 2024-04-14 23:37:42 发布
置顶 最新推荐文章于 2024-04-14 23:37:42 发布
阅读量1.8w 收藏 84
点赞数 7
分类专栏: java 文章标签: Java 图片校验 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26788593/article/details/85062168
版权

文章目录

前言

在web开发中,肯定会有一些图片上传的功能,如果仅仅是通过页面端进行控制是远远不够的,完全可以直接调用后台的接口,将一些病毒文件上传到服务器,如果不进行校验,后果不堪设想!

判断上传的是否是图片

通过后缀名进行判断

这层校验应该说是最基本的校验了,看下文件的后缀名是否符合要求的格式。

String fileType= "";
int i = fileName.lastIndexOf('.');
if (i > 0) {
    fileType= fileName.substring(i+1);
}
//...
if("jpg".equals(fileType) || "png".equals(fileType) ....){
    //your code
}

这种非常的不靠谱,完全可以修改文件的后缀名绕过检验。

通过文件头

根据文件的前面几个字节,即常说的魔术数字进行判断,不同文件类型的开头几个字节

// 获得文件头部字符串
    public static String bytesToHexString(byte[] src) {
        StringBuilder stringBuilder = new StringBuilder();
        if (src == null || src.length <= 0) {
            return null;
        }
        for (int i = 0; i < src.length; i++) {
            int v = src[i] & 0xFF;
            String hv = Integer.toHexString(v);
            if (hv.length() < 2) {
                stringBuilder.append(0);
            }
            stringBuilder.append(hv);
        }
        return stringBuilder.toString();
    }

不同文件的头魔术数字

private static void getAllFileType()     
    {     
        FILE_TYPE_MAP.put("jpg", "FFD8FF"); //JPEG      
        FILE_TYPE_MAP.put("png", "89504E47"); //PNG      
        FILE_TYPE_MAP.put("gif", "47494638"); //GIF     
        FILE_TYPE_MAP.put("tif", "49492A00"); //TIFF    
        FILE_TYPE_MAP.put("bmp", "424D"); //Windows Bitmap     
        FILE_TYPE_MAP.put("dwg", "41433130"); //CAD   
        FILE_TYPE_MAP.put("html", "68746D6C3E"); //HTML    
        FILE_TYPE_MAP.put("rtf", "7B5C727466"); //Rich Text Format    
        FILE_TYPE_MAP.put("xml", "3C3F786D6C");     
        FILE_TYPE_MAP.put("zip", "504B0304");     
        FILE_TYPE_MAP.put("rar", "52617221");     
        FILE_TYPE_MAP.put("psd", "38425053"); //PhotoShop  
        FILE_TYPE_MAP.put("eml", "44656C69766572792D646174653A"); //Email [thorough only]   
        FILE_TYPE_MAP.put("dbx", "CFAD12FEC5FD746F"); //Outlook Express   
        FILE_TYPE_MAP.put("pst", "2142444E"); //Outlook      
        FILE_TYPE_MAP.put("office", "D0CF11E0"); //office类型,包括doc、xls和ppt     
        FILE_TYPE_MAP.put("mdb", "000100005374616E64617264204A"); //MS Access     
        FILE_TYPE_MAP.put("wpd", "FF575043"); //WordPerfect   
        FILE_TYPE_MAP.put("eps", "252150532D41646F6265");     
        FILE_TYPE_MAP.put("ps", "252150532D41646F6265");     
        FILE_TYPE_MAP.put("pdf", "255044462D312E"); //Adobe Acrobat   
        FILE_TYPE_MAP.put("qdf", "AC9EBD8F"); //Quicken  
        FILE_TYPE_MAP.put("pwl", "E3828596"); //Windows Password 
        FILE_TYPE_MAP.put("wav", "57415645"); //Wave   
        FILE_TYPE_MAP.put("avi", "41564920");     
        FILE_TYPE_MAP.put("ram", "2E7261FD"); //Real Audio     
        FILE_TYPE_MAP.put("rm", "2E524D46"); //Real Media     
        FILE_TYPE_MAP.put("mpg", "000001BA"); //     
        FILE_TYPE_MAP.put("mov", "6D6F6F76"); //Quicktime     
        FILE_TYPE_MAP.put("asf", "3026B2758E66CF11"); //Windows Media    
        FILE_TYPE_MAP.put("mid", "4D546864"); //MIDI (mid)     
    }

此时有人把一个可执行的PHP文件的扩展名修改为PNG,然后再在前面补上”89 50″两个字节,就又绕开了这种验证方式,这种也是不靠谱的!

通过ImageIO判断

  • 通过ImageReader来解码这个file并返回一个BufferedImage对象,如果找不到合适的ImageReader则会返回null,我们可以认为这不是图片文件。
  • 另外如果能够正常的获取到一张图片的宽高属性,那肯定这是一张图片,因为非图片文件我们是获取不到它的宽高属性的。
/**
     * 通过读取文件并获取其width及height的方式,来判断判断当前文件是否图片,这是一种非常简单的方式。
     * @param imageFile
     * @return
     */
    public static boolean isImage(File imageFile) {
        if (!imageFile.exists()) {
            return false;
        }
        Image img = null;
        try {
            img = ImageIO.read(imageFile);
            if (img == null || img.getWidth(null) <= 0 || img.getHeight(null) <= 0) {
                return false;
            }
            return true;
        } catch (Exception e) {
            return false;
        } finally {
            img = null;
        }
    }

这种方式较安全!

图片文件的安全检查处理

通过上面的方法,确认上传的文件是图片了,但是如果在可以正常打开的图片里面加入非法代码或者病毒,那就非常危险了。那么怎么可以预防这种情况,既能够正常打开,又能获取图片的宽高等属性,可以对图片进行重写,新生成的图片不会有这种恶意代码了。

给图片加水印

    /**
     * 给图片添加水印、可设置水印图片旋转角度
     * @param iconPath   水印图片路径
     * @param srcImgPath 源图片路径
     * @param targerPath 目标图片路径
     * @param degree     水印图片旋转角度
     * @param width      宽度(与左相比)
     * @param height     高度(与顶相比)
     * @param clarity    透明度(小于1的数)越接近0越透明
     */
    public static void waterMarkImageByIcon(String iconPath, String srcImgPath,
                                            String targerPath, Integer degree, Integer width, Integer height,
                                            float clarity) {
        OutputStream os = null;
        try {
            Image srcImg = ImageIO.read(new File(srcImgPath));
            System.out.println("width:" + srcImg.getWidth(null));
            System.out.println("height:" + srcImg.getHeight(null));
            BufferedImage buffImg = new BufferedImage(srcImg.getWidth(null),
                    srcImg.getHeight(null), BufferedImage.TYPE_INT_RGB);
            // 得到画笔对象
            Graphics2D g = buffImg.createGraphics();
            // 设置对线段的锯齿状边缘处理
            g.setRenderingHint(RenderingHints.KEY_INTERPOLATION,
                    RenderingHints.VALUE_INTERPOLATION_BILINEAR);
            g.drawImage(
                    srcImg.getScaledInstance(srcImg.getWidth(null),
                            srcImg.getHeight(null), Image.SCALE_SMOOTH), 0, 0,
                    null);
            if (null != degree) {
                // 设置水印旋转
                g.rotate(Math.toRadians(degree),
                        (double) buffImg.getWidth() / 2,
                        (double) buffImg.getHeight() / 2);
            }
            // 水印图象的路径 水印一般为gif或者png的,这样可设置透明度
            ImageIcon imgIcon = new ImageIcon(iconPath);
            // 得到Image对象。
            Image img = imgIcon.getImage();
            float alpha = clarity; // 透明度
            g.setComposite(AlphaComposite.getInstance(AlphaComposite.SRC_ATOP,
                    alpha));
            // 表示水印图片的位置
            g.drawImage(img, width, height, null);
            g.setComposite(AlphaComposite.getInstance(AlphaComposite.SRC_OVER));
            g.dispose();
            os = new FileOutputStream(targerPath);
            // 生成图片
            ImageIO.write(buffImg, "JPG", os);
            System.out.println("添加水印图片完成!");
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            try {
                if (null != os)
                    os.close();
            } catch (Exception e) {
                e.printStackTrace();
            }
        }
    }

    /**
     * 给图片添加水印、可设置水印图片旋转角度
     * @param logoText   水印文字
     * @param srcImgPath 源图片路径
     * @param targerPath 目标图片路径
     * @param degree     水印图片旋转角度
     * @param width      宽度(与左相比)
     * @param height     高度(与顶相比)
     * @param clarity    透明度(小于1的数)越接近0越透明
     */
    public static void waterMarkByText(String logoText, String srcImgPath,
                                       String targerPath, Integer degree, Integer width, Integer height,
                                       Float clarity) {
        // 主图片的路径
        InputStream is = null;
        OutputStream os = null;
        try {
            Image srcImg = ImageIO.read(new File(srcImgPath));
            BufferedImage buffImg = new BufferedImage(srcImg.getWidth(null),
                    srcImg.getHeight(null), BufferedImage.TYPE_INT_RGB);
            // 得到画笔对象
            // Graphics g= buffImg.getGraphics();
            Graphics2D g = buffImg.createGraphics();
            // 设置对线段的锯齿状边缘处理
            g.setRenderingHint(RenderingHints.KEY_INTERPOLATION,
                    RenderingHints.VALUE_INTERPOLATION_BILINEAR);
            g.drawImage(
                    srcImg.getScaledInstance(srcImg.getWidth(null),
                            srcImg.getHeight(null), Image.SCALE_SMOOTH), 0, 0,
                    null);
            if (null != degree) {
                // 设置水印旋转
                g.rotate(Math.toRadians(degree),
                        (double) buffImg.getWidth() / 2,
                        (double) buffImg.getHeight() / 2);
            }
            // 设置颜色
            g.setColor(Color.red);
            // 设置 Font
            g.setFont(new Font("宋体", Font.BOLD, 30));
            float alpha = clarity;
            g.setComposite(AlphaComposite.getInstance(AlphaComposite.SRC_ATOP,
                    alpha));
            // 第一参数->设置的内容,后面两个参数->文字在图片上的坐标位置(x,y) .
            g.drawString(logoText, width, height);
            g.dispose();
            os = new FileOutputStream(targerPath);
            // 生成图片
            ImageIO.write(buffImg, "JPG", os);
            System.out.println("添加水印文字完成!");
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            try {
                if (null != is)
                    is.close();
            } catch (Exception e) {
                e.printStackTrace();
            }
            try {
                if (null != os)
                    os.close();
            } catch (Exception e) {
                e.printStackTrace();
            }
        }
    }
        public static void main(String[] args) throws IOException {
          waterMarkImageByIcon("d:/shuiyin.png", imagePath, "d:/result.png", 10, 100, 100, 0F);
	      waterMarkByText("logo", imagePath, "d:/result1.png", 3, 100, 100, 0F);
	}

上面加水印,你可以将透明度调为0,乍一看跟原图一样,其实不是上面的那张原图了。

效果展示
原图:
在这里插入图片描述

加水印图片(水印透明度0.5):
在这里插入图片描述

加水印文字(水印透明度0.5):
在这里插入图片描述

太阳守护者Sunner
关注
  • 7
    点赞
  • 84
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
检查上传图片是否合法的函数,木马改后缀名、图片加恶意代码均逃不过
10-30
很多ASP程序检查上传图片是否合法往往只去检查文件的后缀,这样有一个很大的安全隐患,就是如果把ASP文件的后缀名改成.jpg或者.gif上传,或者图片里加入恶意代码再上传,那也会被程序认为是图片文件而照传不误。假如不怀好意的人上传个木马文件进去,虽然是后缀为jpg也许无法直接运行,但确确实实给服务器带来了很大的安全隐患。
java判断文件是否为图片
热门推荐
fei的专栏
06-18 1万+
/** * 判断文件是否为图片 * * @param pInput 文件名 * @param pImgeFlag 判断具体文件类型 * @return 检查后的结果 * @throws Exception */ public static boolean isPicture(String pInput, Str
阿里云内容管理图片校验简单使用
java_ying的博客
11-07 1859
最近在搞论坛 论坛可以发图片和文字,所以要保证图片文字的安全性 对于文字校验 之前发过一篇DFA文字校验的 https://blog.csdn.net/java_ying/article/details/102902525 这篇主要记录阿里与图片校验的使用 其实使用步骤阿里云官网已经介绍的很完全了(认真脸,可能是实习生写的文档吧,唉) sdk写的也很棒(哪个人写的,出来我绝对不打死你) 1、首先你...
JAVA校验文件类型
Great_est的博客
02-06 828
通常校验文件类型,是获取文件后缀,根据后缀名进行判断。但其实这种方式是有被欺骗风险的。这里记录几种判断文件类型的方式。
这是一个符合modbus协议的CRC16校验算法的java代码的实现.zip
03-14
Java是一种广泛使用的面向对象的编程语言,由Sun Microsystems公司于1995年5月正式发布。它的设计目标是“一次编写,到处运行(Write Once, Run Anywhere)”,这意味着开发者可以使用Java编写应用程序,并在支持Java的任何平台上无需重新编译即可运行,这得益于其独特的跨平台性,通过Java虚拟机(JVM)实现不同操作系统上的兼容。 Java的特点包括: 面向对象:Java全面支持面向对象的特性,如封装、继承和多态,使得代码更易于维护和扩展。 安全Java提供了丰富的安全特性,如禁止指针运算、自动内存管理和异常处理机制,以减少程序错误和恶意攻击的可能性。 可移植性:Java字节码可以在所有安装了JVM的设备上执行,从服务器到嵌入式系统,再到移动设备和桌面应用。 健壮性与高性能:Java通过垃圾回收机制确保内存的有效管理,同时也能通过JIT编译器优化来提升运行时性能。 标准库丰富:Java拥有庞大的类库,如Java SE(Java Standard Edition)包含基础API,用于开发通用应用程序;Java EE(Java Enterprise Edition)提供企业级服务,如Web服务、EJB等;而Java ME(Java Micro Edition)则针对小型设备和嵌入式系统。 社区活跃:Java有着全球范围内庞大的开发者社区和开源项目,持续推动技术进步和创新。 多线程支持:Java内建对多线程编程的支持,使并发编程变得更加简单直接。 动态性:Java可以通过反射、注解等机制实现在运行时动态加载类和修改行为,增加了程序的灵活性。 综上所述,Java凭借其强大的特性和广泛的适用范围,在企业级应用、互联网服务、移动开发等领域均扮演着举足轻重的角色,是现代软件开发不可或缺的重要工具之一。
指纹人脸生物校验,基于android源生接口显示相应的对话框
02-08
 为了增加用户的隐私和安全,需保护您的应用中的敏感信息或付费内容,一种方法是请求生物识别身份验证,例如使用人脸识别或指纹识别。本篇文章介绍了如何在您的应用中支持生物识别登录流程。 系统支持您声明以下类型的身份验证,   根据其欺骗和冒名顶替接受率以及生物识别管道的安全性,生物识别传感器可分为3级(强)、2级(弱)、1级(便利) 博客文章链接:https://blog.csdn.net/u012514113/article/details/128923564
Java里判断Image文件信息格式
David.Wang 做你喜欢的事情
04-10 1950
1,判断Image格式 用UE打开GIF/PNG/JPG格式图片文件 我们会发现在文件头部某几个位置的字节的值连起来是'GIF'/'PNG'/'JFIF' 它们的位置分别如下: GIF: 012 JFIF(JPG): 6789 PNG: 123 这样我们可以通过判断这几个字节值来得到Image文件格式:     String type = "";       byte b0 =
java接收微信小程序的图片路径_【Java】微信小程序imgSecCheck接口示例-校验一张图片是否含有违法违规内容...
weixin_35275189的博客
02-25 454
近期应该部分个人开发者小程序会收到如下通知 为了快速解决问题,就直接使用官方提供的接口imgSecCheck校验一张图片是否含有违法违规内容个人小程序只是图片的一些处理识别。固只拿imgSecCheck接口进行代码示例了。1.在自己的Java后台服务增加接口调用(api.weixin.qq.com不能直接加入小程序安全域名中)2.在小程序选择图片后优先走违法违规校验校验通过再走自己的业...
SpringBoot文件上传控制及Java 获取和判断文件头信息
08-28
主要介绍了SpringBoot文件上传控制的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
图片服务】校验上传图片真实格式、伪后缀校验、文件魔术校验
后端研发工程师Marion的博客
12-22 663
【代码】【图片服务】校验上传图片真实格式、伪后缀校验、文件魔术校验
10-java实现对上传文件做安全性检查
CAT
03-14 8142
文件安全性检查
深入了解java-jwt生成与校验
10-16
主要介绍了深入了解java-jwt生成与校验,Json web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。,需要的朋友可以参考下
openwrt对mcu安全校验启动
05-22
openwrt对mcu安全校验启动。 1.OpenWRT系统简介 由于工作需要接触到OpenWRT系统,发现目前这方面的资料不是很完善,要么是单纯理论的说明性的资料,要么是具体问题解决过程记录的资料,对于初学者都不具被借鉴意义。我认为好的资料应该是完善的、具有实践意义的资料。 1.1.OpenWrt 简介 OpenWrt 是一个 嵌入式设备的Linux 发行版 ,使用 buildroot构建文件系统 , 以 GPL 许可协议发行。 OpenWRT 具有一下优点: 代码里不含第三方开源包,只包含开源包地址链接。源码容量小,下载速度快。但是第一次编译慢,对网络依赖高。 编译时自动下载源代码、打补丁来满足指定平台要求,并编译,还可以修改Makefile来下载最新的软件包。 使用Luci作为最终用户管理界面,以apache许可协议发布许可协议发布管理功能代码。WEB管理界面使用JAVA EE 的MVC设计模式,通过Luci脚本可以简单修改WEB界面。 UCI通用配置管理方法。uci是OpenWRT的配置管理工具,通过该工具可以修改config配置文件,读取或写入参数。
java完整性校验解决方案
06-23
JAVA进行数据完整性验证 最近在看JAVA安全方面的东东。简单地说,安全包括访问控制、数据安全两部分。安全访问控制是根据系统需求进行设计的,对资源进行访问控制的一种措施。而数据安全包括数据传输过程中的安全防范措施,包括数据完整性、传输安全性,接收/发送方不可否认性等方面。下面就数据完整性验证部分做简单的介绍。 下载过程中,没有被其他程序算改过?其他程序可能是网络传输过程中的第三方盗窃者,也有可能是本地环境中存在的不良程序,如木马。在apache的下载列表旁边,我们会发现有个md5的链接,点击打开之后,会出现如下字符串:cbad484f0b02f0daf775137aeeOf4e2e"apache tomcat-7.0.21zip。这是做什么用的呢? 这是一十六进制的编码字符串,又称“数字指纹”。他其实就是对原版文件(发送方发送的文件)完整性的验证标识符。当我们把文件下到本地后,可以自己对其进行验证,若验证的结果与发送方提供的指纹一致的话,则表明,在传输过程中。数据文件没有被算改或其他损耗。
美国发布玩具安全标准ASTM F963-23
yzc9311的博客
04-10 474
新版标准主要修订了声响、电池可触及性、膨胀材料和弹射玩具的技术要求,另外,澄清和调整了邻苯二甲酸酯、玩具基材重金属的豁免以及溯源标签的要求,使其保持与联邦法规和美国消费品安全委员会(CPSC)的政策一致。2)明确供14岁以下儿童使用的玩具,在使用和滥用测试前后都需符合声响要求,对于8岁至14岁儿童使用的玩具,适用36个月至96个月的儿童的使用和滥用测试要求。1) 修订了推拉玩具(以前称为推/拉玩具)和桌面、地板或婴儿床玩具的定义,使其更容易区分。1)修订了适用范围,新增接收状态为非小部件的膨胀材料。
软考中级网络工程师-计算机基础理论与安全-第三节存储技术基础
weixin_61074128的博客
04-14 1015
这种备份方式最显著的优点就是:没有重复的备份数据,因此备份的数据量不大,备份所需的时间很短。PGP(Pretty Good Privacy),是一个采用混合加密算法的软件,其中,使用IDEA对数据进行加密,生产128位的秘钥,再用RSA对该秘钥进行加密,实现更高的保密性,接收方使用RSA对发送方的公钥进行解密,确保数字签名的真实性,PGP是用一个128位的二进制数作为“邮件文摘”的,用来产生它的算法叫MD5(message digest 5)。因为比较是并行进行的,所以CAM的速度非常快。
Java应用中文件上传安全性分析与安全实践
最新发布
喔的嘛呀的博客
04-14 656
这些措施涵盖了文件路径、文件权限、目录结构、Web服务器配置等多个方面,为开发人员提供了一套全面的指南,以确保文件上传功能不仅方便实用,而且具备较高的安全性。在现代Web应用程序中,数据上传是一个普遍存在的需求,然而,随之而来的是对上传数据安全性的担忧。通过检查文件的扩展名或使用浏览器提供的API验证文件的类型,可以在文件上传之前排除不安全的文件。在Web服务器的配置中,确保上传目录是禁止目录浏览的。客户端与服务端的数据验证是确保上传数据安全性的重要步骤,可以通过一系列验证手段来防范潜在的安全威胁。
电力系统卫星授时信号安全隔离装置防护方案
sdzhengrui的博客
04-10 772
(13)告警指示:指示灯包括电源状态指示、授时状态指示、PPS状态指示、北斗天线故障指示、北斗信号通断指示、北斗信号生成状态指示、北斗信号干扰指示、北斗信号欺骗指示、GPS天线故障指示、GPS信号通断指示、GPS信号生成状态指示、GPS信号干扰指示、GPS信号欺骗指示;通过web界面控制输出信号为通断模式时,BDS输出的信号是经过通、断控制的BDS输入的卫星导航信号,GPS输出的信号是经过通、断控制的GPS输入的卫星导航信号。
个人劳保用品穿戴检测系统 安全帽、工服、面罩、防护手套、防护鞋、安全背带穿戴检测等
yangbisheng1121的博客
04-11 834
在工业生产、医疗护理、消防救援等高风险领域,正确穿戴个人防护装备或劳保用品(PPE:Personal Protective Equipment)是保障人员安全的重要措施,如安全帽、反光衣、安全背带等。个人劳保用品穿戴检测系统在各种工业都具有广泛的应用场景,例如工业生产的制造业、建筑业的施工现场、医疗和保健行业、化工和危险品处理等等。因此,在任何工作场所,都需要充分认识和使用个人防护装备,并进行相应的培训和指导,以确保工作的安全和健康。换个场景、颜色的目标,需要重新开启训练,耗时耗力,通用性差。
java 登录校验密码安全性的正则
05-17
Java 登录校验密码安全性的正则表达式可以使用如下代码: ```java public static boolean isPasswordSecure(String password) { // 密码必须包含至少8个字符,包括至少1个大写字母,1个小写字母和1个数字 String regex = "^(?=.*[a-z])(?=.*[A-Z])(?=.*\\d)[a-zA-Z\\d]{8,}$"; return password.matches(regex); } ``` 这个正则表达式要求密码至少包含8个字符,其中至少有一个大写字母、一个小写字母和一个数字。可以根据实际需求进行修改。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值