通过后缀名和MIME-TYPE检查实现文件类型校验

最新推荐文章于 2024-08-13 14:46:30 发布
最新推荐文章于 2024-08-13 14:46:30 发布
阅读量2.4k 收藏 5
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36466774/article/details/88826083
版权
本文介绍了在开发中如何进行文件类型校验,特别是通过后缀名和MIME-TYPE进行安全控制。提供了一种先定义文件类型白名单,再分别进行后缀名和mime-type校验的实现方法,其中涉及到使用第三方库来获取文件的mimeType。
摘要由CSDN通过智能技术生成

前言

文件上传是一个在开发中很常见的需求场景,通常出于安全考虑,我们会对上传的文件进行类型校验,其中常见的有后缀名校验,mime-type校验

话不多说,直接上代码

1.首先定义允许上传的文件类型白名单

private static final String[] suffixWhiteList = {"PNG","JPEG","JPG","GIF"};
private static final String[] mimeTypeWhiteList = {"image/jpeg","image/gif","image/png"};

2.后缀名校验

    /**
     * 文件后缀名校验
     *
     * @param fileName
     *            文件名称
     * @return
     */
    public static boolean suffixCheck(String fileName) {
        if(fileName == null || "".equals(fileName)){
            return false;
        }
        //从最后一个点之后截取字符串
        String suffix = fileName.substring(fileName.lastIndexOf(".") + 1);
        //白名单匹配
        boolean anyMatch = Arrays.stream(suffixWhiteList).anyMatch(x -> x.equalsIgnoreCase(suffix));
        return anyMatch;
    }
最低0.47元/天 解锁文章
Vigoooo
关注
经过后缀名MIME-TYPE检查实现文件类型校验
zf_csdn的博客
01-06 1188
文件上传是一个在开发中很常见的需求场景,通常出于安全考虑,我们会对上传的文件进行类型校验,其中常见的有后缀名校验,mime-type校验
Java通过文件名后缀确定Content-Type中的MIMEType
Knight of Zero
04-22 3620
Java中很多方式可以确定文件的类型,所以我们可以轻松的确定文件的MIMEType。在这些方式中大多数都是通过读取文件的内容来确定的,但是有时候本地并没有这个文件,或者我不想读取这个文件的文件流,这时候我希望通过文件名中的后缀来确定。我找到了以下三种方法。 方法一:Files.probeContentType() 优缺点 优点 无需第三方依赖 缺点 受操作系统影响,在不同的操作系统...
文件上传-后端验证
最新发布
feiwujiushiwo的博客
08-13 827
以下全以PHP代码为例。
不通过扩展名,去判断文件类型
weixin_34319374的博客
07-22 445
1 第一种方法 2 3 通过php的finfo_file() 4 5 $handle=finfo_open(FILEINFO_MIME_TYPE);//This function opens a magic database and returns its resource. 6 $fileInfo=finfo_file($handle,'./test.txt');...
文件类型校验
weixin_30865427的博客
05-12 159
<!doctype html> <html lang="en"> <head> <meta charset="UTF-8"> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /> &l...
文件上传之验证后缀与内容是否一致
赵泽清的博客
01-04 1661
在上传前验证,开发者们往往喜欢通过后缀或者File.type()去判断一个文件类型来决定是否符合上传要求。但这显然是不可靠的,当被别有用心的人利用后,就可能在服务器被执行。今天就来解决如何在前端验证文件内容跟后缀是否一致。 1. Magic number 既然要解析文件内容那这个 Magic Number 就很关键 => Magic number:即幻数,它可以用来标记文件或者协议的格式...
MimeType文件校验demo
08-20
本示例"MimeType文件校验demo"提供了关于如何在Java环境中检查和验证MimeType的方法,特别提到了利用jar包进行操作。 首先,我们来理解MimeType的基本概念。MimeType全称为Multipurpose Internet Mail Extensions ...
php 上传 检测扩展名,PHP文件上传:基于mime或扩展名的验证? - php
weixin_39685697的博客
04-12 233
当我尝试处理文件上传时,是否应该基于文件MIME类型或文件扩展名运行验证?这两种文件验证方式的优缺点是什么?而且,我应该关注其他任何安全问题吗?这些天来,我一直依靠MIME类型,但是这篇文章中投票最多的答案是File upload issues in PHP说:永远不要依赖浏览器提交的MIME类型!参考方案好的,对于这里的所有热心人士,我都在讲一些“螺丝扩展,检查MIME!FILEINFO RLZ...
web安全-文件上传(Js,MIME,文件头,黑白名单校验
nareku的博客
03-07 4787
客户端校验————javascript校验 1.绕过JS校验方法 1)抓包改包 2)禁用JS 例:(源于网络信息安全攻防平台) 查看源码知道有JS验证 可知绕过前端JS验证才可得到flag,可将事先准备好的一句话木马的文件后缀改成jpg,随后用bp抓包 将JPG改成其他文件后缀名即可(习惯性php),发送包,得到flag 服务端校验————content-type字段校验 1.MIME类型检测 MIME type代表互联网媒体类型,MIME使用一个简单的字符串组..
奇安信代码卫士,文件上传漏洞解决demo
04-23
奇安信代码卫士,文件上传漏洞解决demo; #### 文件上传可以参考以下安全需求进行处理: 1. 服务器配置: (1)将上传目录和上传文件设置为不可执行, 杜绝脚本执行。 (2)应保证服务器安全,避免文件解析漏洞。 2. 在服务端对上传文件进行检查: (1)使用白名单控制上传文件类型,即只允许指定扩展名的文件上传。 (2)对上传文件后缀MIME Type进行匹配校验, 对文件头信息与文件后缀进行匹配校验。 (3)对单个文件大小和总文件数进行限制, 避免拒绝服务攻击。 (4)对文件名进行输入校验,显示时进行输出编码。 3. 文件存储: (1)上传文件应保存在指定路径下。 (2)对上传文件进行随机数重命名,避免文件被覆盖。 (3)设置上传文件路径, 使用户不能轻易访问自己上传的文件 。 (4) 文件应尽量保存在内容服务器或web目录外部,避免通过web应用直接访问上传的文件。 4. 对于图片文件进行二次渲染、压缩, 避免图片写马。 5. 校验失败后,记录错误日志信息,内容至少包括时间、用户、IP、操作内容、校验失败
检查上传文件后缀
03-31 274
if (!empty($_FILES['file']['name'])) { $pathinfo = pathinfo($_FILES['file']['name']); if (($pathinfo['extension'] == 'xlsx' || $pathinfo['extension'] == 'xls') && $_FILES['file']['size'] > 0 ) { $inputFileName = $_FIL.
ctfhub文件上传---mime验证
x2813488062的博客
01-29 1000
mime详解 语法:type/subtype type表示可以被分多个子类的独立类别。 subtype 表示细分后的每个类型。 mime类型详解 web服务器使用MIME来说明发送数据的种类, web客户端使用MIME来说明希望接收到的数据种类 MIME的作用 : 使客户端软件,区分不同种类的数据,例如web浏览器就是通过MIME类型来判断文件是GIF图片,还是可打印的PostScript文件。 解题思路 Content-Type:(mime类型) mime部分类型 解题时有很多.
html 文件上传校验,文件上传漏洞“MIME验证”绕过
weixin_42394088的博客
06-07 659
可能很多人不知道什么是MIME?不过没关系,那你一定听说过文件内容类型或者说通过抓包你一定听说过 Content-Type: text/html 这种类似的,其实,这就是MIME。下面再给大家简单说说吧!MIME((Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,...
上传文件校验
wangmuduxingxia2的博客
10-12 1077
为了防止一些用户将一些病毒文件上传到服务器,我们一般需要对上传的文件做合法性校验, 当时有时候简单的后缀和contentType校验任然还有风险,下面我们一起来讨论一下上传的文件需要做哪些合法性校验。   1、文件后缀校验 这层校验应该说是最基本的校验了,我们不能允许用户上传一些exe、jsp、php、asp、html等可执行的文件。   2、contentType校验 conte...
【文件上传漏洞-04】服务器端检测与绕过实例(包含MIME类型、后缀名、文件内容)
m0_64378913的博客
05-31 1931
目录1 相关基础知识1.1 MIME类型检测概述1.1.1 概述1.1.2 文件格式1.1.3 检测与绕过1.2 后缀名检测概述1.3 文件内容检测概述1.3.1 简介1.3.2 图片马的制作方法2 实例操作环境及前期准备简历2.1 操作环境2.2 前期准备3 MIME类型检测与绕过实例4 文件后缀名检测与绕过实例5 文件内容检测与绕过实例6 总结 1 相关基础知识 1.1 MIME类型检测概述 1.1.1 概述 定义:MIME(Multipurpose Internet Mail
实战 - 文件上传功能:校验文件类型,文件大小,获取文件真实类型
热门推荐
你今天真好看呀
11-24 1万+
① 定义允许上传的附件类型: attachment: file: maxSize: 10 types: jpeg: FFD8FF jpg: FFD8FF bmp: 424D png: 89504E47 rtf: 7B5C727466 txt: 75736167 pdf: 255044462D312E doc: D0CF11E0 docx: 504B030414 ② 读取appli
Mime类型与文件后缀对照表及探测文件MIME的方法
顾丽江的专栏
02-28 681
估计很多朋友对不同后缀的文件对应的MIME类型不熟悉(实际上这么多我也记不住),所以将平常常见的一些文件后缀对应的MIME类型写了一个对照表,现在奉献给大家: 文件后缀 MIME 备注 *.avi video/x-msvideo 视频文件 *.aif *.aiff *.aifc audio/
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值