文件上传之验证后缀与内容是否一致

最新推荐文章于 2023-12-11 17:30:55 发布
最新推荐文章于 2023-12-11 17:30:55 发布
阅读量1.5k 收藏
点赞数
分类专栏: javaScript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36571602/article/details/103835634
版权

在上传前验证,开发者们往往喜欢通过后缀或者File.type()去判断一个文件类型来决定是否符合上传要求。但这显然是不可靠的,当被别有用心的人利用后,就可能在服务器被执行。今天就来解决如何在前端验证文件内容跟后缀是否一致。

1. Magic number

既然要解析文件内容那这个 Magic Number 就很关键 => Magic number:即幻数,它可以用来标记文件或者协议的格式,很多文件都有幻数标志来表明该文件的格式。
以下是常见的文件头:

文件类型文件头(16 进制)
JPEG (jpg)FFD8FF
JPEG (jpg)FFD8FF
PNG (png)89504E47
GIF (gif)47494638
TIFF (tif)49492A00
Windows Bitmap (bmp)424D
CAD (dwg)41433130
Adobe Photoshop (psd)38425053
Rich Text Format (rtf)7B5C727466
XML (xml)3C3F786D6C
HTML (html)68746D6C3E
Adobe Acrobat (pdf)255044462D312E
Email (eml)44656C69766572792D646174653A
Outlook Express (dbx)CFAD12FEC5FD746F
Outlook (pst)2142444E
MS Word/Excel (xls.or.doc)D0CF11E0
MS Access (mdb)5374616E64617264204A
WordPerfect (wpd)FF575043
Postscript (eps.or.ps)252150532D41646F6265
Quicken (qdf)AC9EBD8F
Windows Password (pwl)E3828596
ZIP Archive (zip)504B0304
RAR Archive (rar)52617221
Wave (wav)57415645
AVI (avi)41564920
Real Audio (ram)2E7261FD
Real Media (rm)2E524D46
MPEG (mpg)000001BA
MPEG (mpg)000001B3
Quicktime (mov)6D6F6F76
Windows Media (asf)3026B2758E66CF11
MIDI (mid)4D546864

2. 解析文件

通常上传文件我们都会获取File形式的文件;
FileReader 文档

// 1. 使用FileReader以ArrayBuffer的形式读取数据
// 2. 使用Uint8Array换取文件头,看截取前面几位就看具体需要了
const reader = new FileReader();
reader.onload = evt => {
  const result = new Uint8Array(evt.target.result.slice(0, 6));
  // 将截取的result和magic number比较
};
reader.readAsArrayBuffer(file);
甩头淡忘烦恼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
经过后缀名和MIME-TYPE检查实现文件类型校验
zf_csdn的博客
01-06 1113
文件上传是一个在开发中很常见的需求场景,通常出于安全考虑,我们会对上传的文件进行类型校验,其中常见的有后缀名校验,mime-type校验。
第四周学习
weixin_74485208的博客
11-23 396
文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直接和有效的,“文件上传” 本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。
element上传文件文件类型校验
qq_40390762的博客
07-31 473
message: "上传文件只能是.doc、.docx、.xls、.xlsx格式!
文件上传漏洞修改方案
junbj的博客
07-06 2867
文件上传漏洞
java文件上传校验文件头(非后缀名校验的方式)
BOB的备忘录
07-22 2266
package study.tool; import java.io.File; import java.io.FileInputStream; import java.util.HashMap; import java.util.Iterator; import java.util.Locale; import java.util.Map; import java.util.Map.Entry; /******************************************************
奇安信代码卫士,文件上传漏洞解决demo
04-23
奇安信代码卫士,文件上传漏洞解决demo; #### 文件上传可以参考以下安全需求进行处理: 1. 服务器配置: (1)将上传目录和上传文件设置为不可执行, 杜绝脚本执行。 (2)应保证服务器安全,避免文件解析漏洞。 2. 在服务端对上传文件进行检查: (1)使用白名单控制上传文件类型,即只允许指定扩展名的文件上传。 (2)对上传文件后缀与MIME Type进行匹配校验, 对文件头信息与文件后缀进行匹配校验。 (3)对单个文件大小和总文件数进行限制, 避免拒绝服务攻击。 (4)对文件名进行输入校验,显示时进行输出编码。 3. 文件存储: (1)上传文件应保存在指定路径下。 (2)对上传文件进行随机数重命名,避免文件被覆盖。 (3)设置上传文件路径, 使用户不能轻易访问自己上传的文件 。 (4) 文件应尽量保存在内容服务器或web目录外部,避免通过web应用直接访问上传的文件。 4. 对于图片文件进行二次渲染、压缩, 避免图片写马。 5. 校验失败后,记录错误日志信息,内容至少包括时间、用户、IP、操作内容、校验失败
php 文件上传后缀名与文件类型对照表(几乎涵盖所有文件)
10-29
在PHP中,文件上传是一个常见的任务,特别是在构建网站或应用程序时。...通过使用文件上传后缀名与文件类型对照表,开发者可以更好地控制和验证上传的文件,从而避免潜在的安全风险和用户体验问题。
Java防止文件被篡改之文件校验功能的实例代码
08-26
"Java防止文件被篡改之文件校验功能的实例代码" 本文主要介绍了Java防止文件被篡改之文件校验功能,给大家分享了文件校验和原理及具体实现思路。文件校验和的主要作用是保证系统版本的正确性和唯一性。 文件校验和...
易语言-[神2也教你学E] - 查看文件后缀相关信息及应用
06-29
其次,教程可能会讲解如何检查文件后缀是否符合特定格式,这对于验证用户上传的文件类型或者在程序中实现文件过滤功能很有帮助。这需要用到条件判断语句,如“如果...则...”结构,来对比文件后缀与预期的后缀是否...
【代码审计】xyhcms3.5后台任意文件读取1
08-03
然而,对`$fname`的后缀检查并不完善,只比较了文件扩展名是否与框架配置的模板后缀一致,而没有限制文件路径的范围。这使得攻击者可能通过修改`fname`的值,绕过限制,读取到不应被访问的文件。 修复此漏洞的方法...
MimeType文件校验demo
08-20
代码演示了几种获取MimeType类型的方法,包括jar包
jenkins插件-合集.zip
11-18
3. **压缩包内容**:"jenkins插件"、"145jenkins插件"、"jenkins_plugin"、"jenkins" 这些子文件可能包含不同版本或类型的 Jenkins 插件,每个文件可能是一个单独的 `.hpi` 文件或者是包含多个插件的目录。...
通过后缀名和MIME-TYPE检查实现文件类型校验
b1356039的博客
03-25 1565
前言 文件上传是一个在开发中很常见的需求场景,通常出于安全考虑,我们会对上传的文件进行类型校验,其中常见的有后缀名校验,mime-type校验 话不多说,直接上代码 1.首先定义允许上传的文件类型白名单 private static final String[] suffixWhiteList = {"PNG","JPEG","JPG","GIF"}; private static fi...
上传文件校验
wangmuduxingxia2的博客
10-12 1031
为了防止一些用户将一些病毒文件上传到服务器,我们一般需要对上传的文件做合法性校验, 当时有时候简单的后缀和contentType校验任然还有风险,下面我们一起来讨论一下上传的文件需要做哪些合法性校验。   1、文件后缀校验 这层校验应该说是最基本的校验了,我们不能允许用户上传一些exe、jsp、php、asp、html等可执行的文件。   2、contentType校验 conte...
文件上传漏洞-04】服务器端检测与绕过实例(包含MIME类型、后缀名、文件内容
m0_64378913的博客
05-31 1771
目录1 相关基础知识1.1 MIME类型检测概述1.1.1 概述1.1.2 文件格式1.1.3 检测与绕过1.2 后缀名检测概述1.3 文件内容检测概述1.3.1 简介1.3.2 图片马的制作方法2 实例操作环境及前期准备简历2.1 操作环境2.2 前期准备3 MIME类型检测与绕过实例4 文件后缀名检测与绕过实例5 文件内容检测与绕过实例6 总结 1 相关基础知识 1.1 MIME类型检测概述 1.1.1 概述 定义:MIME(Multipurpose Internet Mail
java web系统的常见安全问题
最新发布
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
12-11 1546
java开发的系统在发布到互联网后都需要进行安全扫描,本文主要总结开发web系统需要注意的与系统安全相关的问题。因为在做需求开发时,很少产品会将系统安全的因素考虑在内,总觉得实现个需求很简单,就是一些页面,一些接口。以至于在构筑安全的逻辑上没给工时,开发人员也没想太多去实现这些有必要有看不见的东西。所以一般就变成了系统上线后,发现安全问题,再返工补漏洞的现象。显得非常不专业。
判断两个文件内容是否相同
BarryLee的博客
11-01 6595
package cn.bl.file; import java.io.File; import java.io.FileInputStream; import java.io.IOException; import java.io.InputStream; import java.math.BigInteger; import java.security.MessageDigest; impo...
linux 怎么查看sh后缀文件内容
07-15
要查看以 `.sh` 后缀文件内容,您可以使用文本编辑器或者命令行工具。以下是几种方法: 1. 文本编辑器:您可以使用任何文本编辑器打开 `.sh` 文件来查看其内容。常用的文本编辑器有 `vi`、`nano`、`gedit` 等。例如,使用 `nano` 编辑器打开文件的命令如下: ``` nano filename.sh ``` 其中 `filename.sh` 是您要查看的文件名。 2. cat 命令:使用 `cat` 命令可以在命令行中查看文件内容。执行以下命令来查看 `.sh` 文件内容: ``` cat filename.sh ``` 这将在终端中显示文件内容。您可以使用翻页键(Page Up/Page Down)来浏览文件内容。 3. less 命令:类似于 `cat` 命令,但 `less` 命令可以逐页显示文件内容,更适合大型文件。执行以下命令来查看 `.sh` 文件内容: ``` less filename.sh ``` 按下 `Enter` 键向下滚动一行,按下 `q` 键退出 `less` 命令。 这些方法中,文本编辑器提供更多功能和编辑选项,而命令行工具则更适合快速查看文件内容。选择适合您需求的方法来查看 `.sh` 文件内容

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值