上传附件格式限制与内容校验

最新推荐文章于 2024-05-11 09:30:19 发布
最新推荐文章于 2024-05-11 09:30:19 发布
阅读量2.2k 收藏 7
点赞数 1
分类专栏: 网络安全 后端 文章标签: 文件 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31204765/article/details/96285771
版权

在web应用中,上传附件是很常见的操作,为了防止上传文件中有恶意攻击程序,必须验证文件是否安全,首先,也是最普通的,前后端程序都需要验证文件后缀名是否在自定义的白名单中,其次,后端通过文件流获取文件头信息,防止恶意木马文件,比如一张普通图片,文本工具打开后,内嵌有js代码;

/**文件类型白名单*/
protected static final List FILECONTENTTYPELIST = Arrays.asList(
    		".jpg",".jpeg",".png",".bmp",".doc",".docx",".pdf",".rar",".zip",".xlsx",".xls");
    
    /**记录各个文件头信息及对应的文件类型*/
    protected static final Map<String, String> MFILETYPES = new HashMap<String, String>();
    
    static {
        // images          
        MFILETYPES.put("FFD8FFE0", ".jpg");
        MFILETYPES.put("89504E47", ".png");
        MFILETYPES.put("47494638", ".gif");
        MFILETYPES.put("49492A00", ".tif");
        MFILETYPES.put("424D", ".bmp");
         
        //PS和CAD
        MFILETYPES.put("38425053", ".psd");
        MFILETYPES.put("41433130", ".dwg"); 
        MFILETYPES.put("252150532D41646F6265",".ps");
         
        //办公文档类
        MFILETYPES.put("D0CF11E0", ".doc");
        MFILETYPES.put("504B0304", ".docx");
         
        MFILETYPES.put("7B5C727466", ".rtf");
         
        MFILETYPES.put("25504446", ".pdf");
         
        //视频或音频类
        MFILETYPES.put("3026B275",".wma");
        MFILETYPES.put("57415645", ".wav");
        MFILETYPES.put("41564920", ".avi");
        MFILETYPES.put("4D546864", ".mid");
        MFILETYPES.put("2E524D46", ".rm");
        MFILETYPES.put("000001BA", ".mpg");
        MFILETYPES.put("000001B3", ".mpg");
        MFILETYPES.put("6D6F6F76", ".mov");
        MFILETYPES.put("3026B2758E66CF11", ".asf");
        
        //程序文件
        MFILETYPES.put("3C3F786D6C", ".xml");
        MFILETYPES.put("68746D6C3E", ".html");
        MFILETYPES.put("7061636B", ".java");
        MFILETYPES.put("3C254020", ".jsp");
        MFILETYPES.put("4D5A9000", ".exe");    
         
        //压缩包
        MFILETYPES.put("52617221", ".rar");    
        MFILETYPES.put("1F8B08", ".gz");
         
        MFILETYPES.put("44656C69766572792D646174653A", ".eml");
        MFILETYPES.put("5374616E64617264204A", ".mdb");
         
        MFILETYPES.put("46726F6D", ".mht");
        MFILETYPES.put("4D494D45", ".mhtml");
    }

    /**
     * 根据文件的输入流获取文件头信息
     *
     * @param filePath 文件路径
     * @return 文件头信息
     * @throws IOException 
     */
    public static String getFileType(InputStream  is) throws IOException {
        byte[] b = new byte[4];
        if(is!=null){
        	is.read(b, 0, b.length);
        }              
       
       return MFILETYPES.get(getFileHeader(b));
    }
    
    /**
     * 根据文件转换成的字节数组获取文件头信息
     *
     * @param filePath
     *            文件路径
     * @return 文件头信息
     */
    public static String getFileHeader(byte[] b) {     
        String value = bytesToHexString(b);
        return value;
    }
    
    /**
     * 将要读取文件头信息的文件的byte数组转换成string类型表示
     * 下面这段代码就是用来对文件类型作验证的方法,
     * 将字节数组的前四位转换成16进制字符串,并且转换的时候,要先和0xFF做一次与运算。
     * 这是因为,整个文件流的字节数组中,有很多是负数,进行了与运算后,可以将前面的符号位都去掉,
     * 这样转换成的16进制字符串最多保留两位,如果是正数又小于10,那么转换后只有一位,
     * 需要在前面补0,这样做的目的是方便比较,取完前四位这个循环就可以终止了
     * @param src要读取文件头信息的文件的byte数组
     * @return 文件头信息
     */
    private static String bytesToHexString(byte[] src) {
        StringBuilder builder = new StringBuilder();
        if (src == null || src.length <= 0) {
            return null;
        }
        String hv;
        for (int i = 0; i < src.length; i++) {
            // 以十六进制(基数 16)无符号整数形式返回一个整数参数的字符串表示形式,并转换为大写
            hv = Integer.toHexString(src[i] & 0xFF).toUpperCase();
            if (hv.length() < 2) {
                builder.append(0);
            }
            builder.append(hv);
        }
         
         
        return builder.toString();
    }

通过getFileType()方法,获取文件类型,与白名单进行对比;

ChihPingM
关注
专栏目录
vue2.0- 上传文件格式后缀校验--element-ui中el-upLoad组件-
weixin_62355341的博客
03-19 4387
1.绑定上传文件之前的钩子 2.在文件上传前钩子中写校验 file:自带的参数,关于上传文件的一些属性,文件name,type什么的 acceptFileType:自己定义了一个支持的文件格式的数组,方便后期更改。 type:为什么是file.name而不是file.type呢?就是因为有些文件type读取不到值的,name容错率更低, file.name.split("."):字符串转数组,以 . 分隔。所以变成了['文件名','后缀']例如['简历','docx'] ...
前台校验附件上传格式
guoshunwgs
09-10 317
//var fileAddress = $(“tr[id^=‘docTr’] >td:eq(0)>a”).text(); /* var attachFileLength = $(“tr[id^=‘docTr’]”).length; var fileValue = $(“table[id=‘attach’]>tbody>tr:eq(1)>td:eq(0)”).text(...
上传文件前,校验文件内容如何实现?
最新发布
情义的博客
05-11 755
项目中的一个批量导入数据的需求,批量导入数据是用的excel,需要前端上传excel文件时先将文件中的数据解析一下,然后根据业务需求对每一列的字段进行一些基础校验,如字段是否非空,字符串长度是否超出范围等等,接下来就来梳理一下这个需求的基本实现关于这种比较通用的文件上传或者文件解析功能,在项目里适合基于业务封装成通用的组件或函数,在未来类似的需求中可以相对快速完成相关功能关于文件解析校验,还有更优雅的实现思路吗?
如何限制上传附件格式
weixin_30502965的博客
04-05 298
解决思路:1、在$(document).ready(function(){});中加上 $("#uploadFile").live("change",function () {};如下红色标记部分 <script type="text/javascript"> $(document).ready(function() { //$("#...
JavaScript上传附件格式限制
weixin_67339987的博客
06-07 403
可以用逗号拼接以达到限制多种。
上传图片附件验证 input【type='file'】
xiaoxiaoman2010的博客
09-20 795
HTML                                                                上传图片尺寸应为:207* 207px,不大于300k              JS        $("#appOuterFiles").unbind("change");//移出绑定的事件
element UI upload组件上传附件格式限制方法
10-18
4. 本文示例中还使用了:before-upload钩子函数,此函数可以用于实现更复杂的上传前的逻辑处理,例如在文件上传前进行格式校验等。 5. 关于大小限制,虽然在本文内容中没有明确提及,但Element UI的upload组件也支持...
Java 对上传文件后缀格式校验
热门推荐
起止洺的博客
05-09 1万+
在web开发中,我们经常遇到一些上传文件的功能, 我们在对文件进行校验时,除了对文件大小进行校验外,还需要对文件格式进行校验. 在对格式校验的时候要考虑到用户或者攻击者对文件后缀进行的改变,导致上传文件并不是我们需要的类型,从而对系统造成影响. 我们可以对常用的文件进行校验,如图片格式, 压缩格式,office word,Excel格式,以及其他文件格式进行校验. 代码如下: import ...
java 上传图片内容校验_【Java后台】校验一张图片是否含有违法违规内容
weixin_39622628的博客
03-07 1393
更新时间:2020年9月29日修改了提供的接口地址。可以直接调用了。近期应该部分个人开发者小程序会收到如下通知为了快速解决问题,就直接使用官方提供的接口个人小程序只是图片的一些处理识别。固只拿imgSecCheck接口进行代码示例了。1.在自己的Java后台服务增加接口调用(api.weixin.qq.com不能直接加入小程序安全域名中)2.在小程序选择图片后优先走违法违规校验校验通过再走自己的...
致远OA ,限制附件上传格式附件相关操作的方法(非正规操作,谨慎使用)
qq_26262491的博客
11-09 3844
继承 com.seeyon.ctp.common.fileupload.FileUploadController 重写 processUpload,processUploadForCap4两个方法 修改 WEB-INF/cfgHome/spring/spring-file-controller.xml 中 beanId 为’/fileUpload.do’ 的springBean为实现类,注意只修...
javascript实现限制上传文件大小
10-24
这个简单的示例展示了如何在前端实现文件大小的校验,从而限制用户上传过大的文件。不过,为了增加安全性,最好在后端也进行一次文件大小的验证,因为用户可能会绕过前端的限制。此外,对于支持File API的现代浏览器...
共用弹框之新增和编辑(一)-上传附件- 支持上传格式wordPDFPPT图片Excel文件 上传数量无限、上传文件大小10MB
weixin_44867717的博客
11-01 703
共用弹框之新增/编辑(一)-上传附件—— 支持上传格式word/PDF/PPT/图片/Excel文件 上传数量无限、上传文件大小10MB 1、场景——共用一个弹框,实现【新增】和【编辑】功能 需求 题目切换——新增课件&编辑课件 内容模块相同 编辑课件-有回显 新增课件-无回显 功能按钮—— 确定切换 取消切换 效果 新建 编辑 2、页面代码-涵盖wangeditor富文本、上传文件/图片 index.vue <template> <el-dialog
验证FileUpLoad文件上传类型
weixin_33854644的博客
01-08 649
ASP.NET 的数据验证空件RegularExpressionValidator  实现验证FileUpLoad上传文件的类型 &lt;asp:RegularExpressionValidator ID="FileUpLoadValidator" runat="server" ErrorMessage="只允许上传图片文件(后缀为:.jpg|.JPG|.gif|.GIF.bmp|.BMP)" ...
js校验上传文件格式
口袋里的小龙的专栏
08-22 1470
http://java.sun.com/jsp/jstl/core"%> <% String path = request.getContextPath(); String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/"; %>
前端上传文件类型校验
weixin_43167662的博客
01-03 1472
上传
web中上传附件的安全问题
糖泥的专栏
04-29 2163
在系统中需要上传附件,是很多系统的需要,而且现在也有很多技术能实现这一需求。但是附件上传可能会存在很大的安全隐患,这不是每个人都能注意到的。对于普通的附件上传,用户从本机上传文件到服务器web目录,系统记录文件的路径,用户下载时,系统读取文件的路径,在页面输出链接。这个过程中的存在很大的安全隐患。首先没有对用户的上传文件进行验证,可能是威胁服务器的文件。其次文件上传到web目录,如果用户上传
表单手机号,附件校验
抱着小兔子的大萝北的博客
02-22 376
手机号,附件校验 export default { components: { }, data() { let validateFile = (rule, value, callback) => { if (this.hasFile) { callback(); } else { callback(new Error("请选择文件")); } }; let sbrTel = (rule, value
jsp页面中文件上传时在页面上用JS加上简单的文件类型验证
Xiaobo Huang 的专栏
04-26 4345
<%@page language="java" contentType="text/html;charset=utf-8" pageEncoding="utf-8"%><! DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-tr
文件上传漏洞
金色%夕阳的博客
04-29 2382
文件上传漏洞 1. 文件上传功能 文件上传功能是大部分WEB应用的必备功能,站点常见文件上传点有:用户头像上传、社交类网站允许用户上传照片、服务类网站需要用户上传证明材料的电子档、电商类网站允许用户上传图片展示商品情况等。然而,看似普通的文件上传功能如果缺法安全防护措施,就存在巨大的安全风险。 2. 文件上传漏洞 文件上传漏洞是指攻击者上传了一个可执行的文件到服务器并执行。这里上传文件可以是木马,病毒,恶意脚本或者WebShell等。通常是因web应用程序没有对上传文件进行安全判断或者判断条件不够严谨,
HTML5上传组件:JS实现多文件选择、大小限制与MD5校验
"该资源提供了一个完整的js HTML5上传示例代码,旨在解决不兼容Flash插件的问题,以及实现多文件选择、自定义参数提交、文件大小和数量限制、MD5校验、服务器反馈信息展示、上传顺序控制和多视图切换等功能。此上传...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值