文件上传前前端通过魔数(magic number)去限制上传文件类型

已于 2023-07-20 11:18:51 修改
阅读量1k 收藏 1
点赞数 1
分类专栏: 笔记 文章标签: 前端
于 2023-07-18 14:13:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45840993/article/details/131786258
版权
文章讨论了在项目中如何准确判断文件类型,指出单纯依赖文件后缀可能存在风险,因为后缀可被修改且某些文件可能没有后缀。作者提出使用文件的头信息,特别是魔数(magicnumber)来识别文件的真实格式,以ELF文件为例展示了如何通过JavaScript的FileReaderAPI读取文件头四字节并进行比较,从而确定文件类型。
摘要由CSDN通过智能技术生成

问题

最近项目需求文件上传前判断文件类型,有的同学会说用文件后缀判断不就好啦。其一,文件后缀可以修改,正确性待考究;其二,有些文件并没有文件后缀。这就需要我们动动脑筋啦,其实我们可以根据文件的头信息,来判断文件真正的格式

前提:什么是魔数(magic number)?

对于某一些类型的文件,起始的几个字节内容都是固定的,根据这几个字节的内容就可以判断文件的类型,这就是魔数。例如常见的图片类型对应的魔数:
在这里插入图片描述

解决办法

这里以elf文件为例进行判断:

<template>
  <el-upload
    class="avatar-uploader"
    action="https://run.mocky.io/v3/9d059bf9-4660-45f2-925d-ce80ad6c4d15"
    :show-file-list="false"
    :on-success="handleAvatarSuccess"
    :before-upload="beforeUpload"
  >
    <img v-if="imageUrl" :src="imageUrl" class="avatar" />
    <el-icon v-else class="avatar-uploader-icon"><Plus /></el-icon>
  </el-upload>
</template>

<script setup>
const isElfFile=(file)=> {
  return new Promise((resolve) => {
    const reader = new FileReader();
    reader.onloadend = function () {
      const magicNumber = new Uint8Array(reader.result.slice(0, 4));
      const elfMagic = new Uint8Array([0x7F, 0x45, 0x4C, 0x46]);

      for (let i = 0; i < magicNumber.length; i++) {
        if (magicNumber[i] !== elfMagic[i]) {
          resolve(false);
          return;
        }
      }

      resolve(true);
    };
    reader.onerror = function () {
      resolve(false);
    };

    reader.readAsArrayBuffer(file.slice(0, 4));
  });
}

const beforeUpload= async file=>{
const isElfType=await isElfFile(file)
if(isElfType){
//判断当文件类型为elf时需要进行的操作,巴拉巴拉。。。
}
}
</script>
阿乐今天敲代码没
关注
专栏目录
渗透测试之文件上传漏洞
weixin_45380284的博客
03-06 1712
文件上传漏洞 理论: 文件上传: 用户提交文件到web服务器。 文件上传本身没有问题,问题是文件被上传到哪里,上传之后,服务器如何处理、解释文件。 文件上传漏洞产生的原因; web服务器的文件上传功能在程序设计上的逻辑缺陷 web服务器无法区分识别上传文件的内容和格式 web服务器对文件上传的路径和位置控制不严格 服务器对所上传文件的读、写、执行、和所继承的权限设计不严格 文件上传检查不严 文件上传后修改文件名时处理不当 第三方插件的引入 文件上传漏洞入侵服务器的流程: 1.攻击者分析web站点是否存在缺陷
如何实现图片上传至服务器
qq_64948664的博客
03-17 2129
发表文章时上传文章封面时上传用户头像时通过编辑器的菜单添加图片。直接复制一张图片粘贴到编辑器中复制外部的图片链接(markdown格式),到编辑器中。导入MD文件到编辑器中(如果图片有连接时)。这四种方式都会出发图片上传功能(严格一点,后面两个还涉及到图片转链)后台的接口都是一样的,都调用的是ImageRestController,上传图片调用的是upload方法,请求参数为HttpServletRequest;转存图片链接调用的是save方法,参数为图片的外部链接。
如何正确检测文件类型
RegExp007的博客
05-10 2151
上传文件时,在某些情况下我们希望能限制文件上传类型,比如限制只能上传 PNG 格式的图片。我们可以通过input元素的accept属性来限制上传的文件类型, 例如: <input type="file" accept="image/png" /> 这种方案是通过识别文件到后缀名 .png 来限制。如果用户把 JPEG 格式的图片后缀名更改为.png的话,就可以成功突破这个限制。为了更严格的限制,我们可以通过读取文件的二进制数据来识别正确的文件类型。 一、如...
文件类型快速判定(Magic Number)
xuleisdjn的专栏
01-26 1185
后缀名判断文件类型十分不准确, 并且linux上也不需要有文件后缀, 我们如何判断文件类型呢. 比如使用bash 命令 file file logo.png logo.png: MS Windows icon resource - 7 icons, 16x16, 16 colors, 4 bits/pixel, 16x16, 8 bits/pixel 我们可以读取文件的头部二进制数据 根据这几位来判断是什么类型 00000000: 0000 0100 0700 1010 1...
vue3集成LuckySheet实现导入本地Excel进行在线编辑,以及导出功能
最新发布
青莳的博客
07-29 1146
点击按钮选择一个xlsx文件就能导入成功了,效果如下(这里只能导入xlsx文件,导入xls文件会报错,暂时不知道什么原因,如果有xls文件的话可以把表格另存为xlsx类型的文件再导入)首先要引入luckyexcel 的依赖,我们导入导出本地excel会用到。第一步:克隆或者下载下面的代码。接下来就是在项目中使用这个插件。然后创建一个vue页面文件。
java 通过 MagicNumber获取文件类型,并校验
coquetish_girl的博客
12-22 1176
java上传后根据MagicNumber校验文件类型
JavaScript对文件上传类型限制(根据文件头信息判断)
富朝阳的博客
09-19 2225
前端开发过程中,文件上传功能几乎必不可少的,很多时候,我们在进行文件上传时,尤其是向普通用户开放文件上传功能时,一般都需要对上传文件的格式进行一些限制,以防止不良用户、黑客等将带有病毒脚本文件上传到服务器中,常见文件格式限制如下。
spring boot上传文件,并限制上传文件类型上传文件大小
sole_legal的博客
03-13 2618
上传文件这个有很多方案可以解决,可以直接一个异常捕获返回文件太大,也可以将文件容量扩大,而这里我是两个搭配使用,配置了yml文件,还配置了异常捕获,也可以直接在上传的代码那捕获这个异常 MaxUploadSizeExceededException ,我这是新建了一个IExceptionHandler直接全局进行配置了。近日上传文件遇到诸多问题,我以为上传就一个io流就能搞定的东西,结果写完给我同事测试一下漏洞百出,问题1.单次上传文件超过10MB就会报错,文件太大。
文件系统中的魔数
m0_48530561的博客
04-08 888
文件系统的魔数Magic Number)是一个特殊的数字,它用于标识文件系统的类型魔数通常存储在文件系统的超级块中,当操作系统挂载文件系统时,它会检查超级块中的魔数,以确定文件系统的类型。不同类型的文件系统有不同的魔数。例如,ext2 文件系统的魔数是 0xEF53,而 XFS 文件系统的魔数是 0x58465342。魔数可以帮助操作系统正确地识别和挂载文件系统。
自己实现一个大文件切片上传+断点续传
大转转FE
06-07 672
PM:喂,那个切图仔,我这里有个100G的视频要上传,你帮我做一个上传后台,下班给我哦,辛苦了。我:。。。相信每个切图工程师,都接触过文件上传的需求,一般的小文件,我们直接使用input file,然后构造一个new FormData()对象,扔给后端就可以了。如果使用了 Ant design 或者 element ui 之类的ui库,那更简单,直接调用一下api即...
java-文件工具,可以查看文件类型,文件魔数,可以判断是否是视频文件,音乐文件,图片文件等等
11-13
java文件的工具类,封装了常用的操作,尤其针对文件的实际类型,通过获取文件的byte,来查看文件起始字节的魔数值,通过魔数值来判断文件的类型,工具集合了常用的文件类型对应的魔数,也封装了文件类型判断方法
信息安全课程设计——上传漏洞的利用与防范
mxtx2345a的博客
11-05 323
文件上传功能是大部分web应用的必备功能,站点常见文件上传点有:用户头像上传、社交类网站允许用户上传照片、服务类网站需要用户上传证明材料的电子档、电商类网站允许用户上传图片展示商品情况等。然而,看似普通的文件上传功能如果缺法安全防护措施,就存在巨大的安全风险。文件上传漏洞是指攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。
前端上传文件,筛选文件格式
小菜立志成大牛
12-27 3649
input上传文件时,限制可选择的文件类型例如上传仅图片: <input type="file" accept="image/*" />accept表示可以上传的文件类型,image表示图片,*表示所有支持的格式下面列举一些accept的格式选择 *.3gpp audio/3gpp, video/3gpp3GPP Audio/Video *.ac3 audio/ac3AC3 Audio *.a
文件格式的幻数File Format and Magic Number
qq_35980805的博客
06-12 4777
文章目录Magic Number是什么?文件类型Magic number常见文件头幻数幻数在zipfile.py中的应用zip文件格式中央目录结束记录End of central directory record(EOCD)中央目录结构Central directory文件数据区file data判断是否为zip的py代码is_zipfile 判断是否为zip文件_check_zipfile 检查zip文件格式幻数是否为正确_EndRecData 读取中央目录结束记录中央目录结束记录的幻数补充:文章中
Web前端 Js文件上传类型限制(根据文件头信息判断)
沐枫
12-29 9757
言 在Web项目开发过程中,文件上传功能几乎必不可少的,很多时候,我们在进行文件上传时,尤其是向普通用户开放文件上传功能时,一般都需要对上传文件的格式进行一些限制,以防止不良用户、黑客等将带有病毒脚本文件上传到服务器中,常见文件格式限制如下。 1、通过input标签的accept属性进行限制 我们可以通过HTML5中的 input file 标签的accept属性,根据自己的需求,在选择上传文件的时候,指定可见的文件类型格式(默认任意类型 )来进行限制。 实例代码: <input type="fi
magic number 幻数
笔记
07-20 739
一些通信协议或数据格式规定,数据的开始部分包含特定的幻数,以确保数据正确接收或解析。通过读取文件的幻数,程序可以判断文件的类型,并采取相应的解析或处理方式。例如,JPEG图片文件的幻数为FF D8 FF,而PDF文件的幻数为25 50 44 46。通过使用特定的幻数作为条件判断,程序可以执行不同的操作或处理流程。为了提高代码的可读性,应该将幻数定义为具有意义的常量,并使用有描述性的名称。在计算机编程领域,幻数(Magic Number)是指在文件或数据中用来识别其文件格式、数据类型或特定属性的固定值。
文件头格式标准魔数-magic number和mime.types
Z.X的博客
11-08 2152
2021年11月8日10:13:39 1,magic number https://www.garykessler.net/library/file_sigs.html 这个文件头部,各种文件的默认数据格式 https://gist.github.com/Qti3e/6341245314bf3513abb080677cd1c93b 常用版本的json { "123": { ...
MIME与文件Magic
Phantasm的博客
02-18 442
Thank Zhihao Tao for your hard work. The document spent countless nights and weekends, using his hard work to make it convenient for everyone. If you have any questions, please send a email to zhihao.tao@outlook.com 文章目录1. MIME1.1 RFC 1. MIME MIME(Multi.
java工具:通过文件头的魔数判断文件类型
KylinHunter的专栏
12-02 1004
一个通过文件头的魔数(magic number)判断文件类型的工具。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

阿乐今天敲代码没

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值