Java 通过魔数判断上传文件的类型

最新推荐文章于 2024-07-31 18:41:30 发布
最新推荐文章于 2024-07-31 18:41:30 发布
阅读量1.2w 收藏 33
点赞数 10
分类专栏: 程序开发 文章标签: java 互联网安全 文件上传
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/t894690230/article/details/51242110
版权

前言

文件上传功能是很多网站都必须的功能,而判断文件类型不仅可以过滤文件的上传,同时也能防范用户上传恶意的可执行文件和脚本,以及将文件上传服务器当作免费的文件存储服务器使用。

而对于上传文件来说,不能简单的通过后缀名来判断文件的类型,因为恶意攻击可以将可执行文件的后缀名称改为图片或者其他格式,诱导用户执行,因此,判断上传文件的类型需要更安全的方式。

与Java的class文件类似,很多类型的文件,起始的几个字节内容都是固定的,跟据这几个字节的内容,就可以判断文件的类型,这几个字节也被称为“魔数”,比如class文件的魔数就是“CAFEBABE”。

通过魔数判断文件类型便是一种更安全的方式,其示例源码如下。

源码

1.新建一个文件类型的枚举类


public enum FileType {
	
	/** JPEG */
	JPEG("FFD8FF"),
	
	/** PNG */
	PNG("89504E47"),
	
	/** GIF */
	GIF("47494638"),
	
	/** TIFF */
	TIFF("49492A00"),
	
	/** Windows bitmap */
	BMP("424D"),
	
	/** CAD */
	DWG("41433130"),
	
	/** Adobe photoshop */
	PSD("38425053"),
	
	/** Rich Text Format */
	RTF("7B5C727466"),
	
	/** XML */
	XML("3C3F786D6C"),
	
	/** HTML */
	HTML("68746D6C3E"),
	
	/** Outlook Express */
	DBX("CFAD12FEC5FD746F "),
	
	/** Outlook */
	PST("2142444E"),
	
	/** doc;xls;dot;ppt;xla;ppa;pps;pot;msi;sdw;db */
	OLE2("0xD0CF11E0A1B11AE1"),
	
	/** Microsoft Word/Excel */
	XLS_DOC("D0CF11E0"),
	
	/** Microsoft Access */
	MDB("5374616E64617264204A"),
	
	/** Word Perfect */
	WPB("FF575043"),
	
	/** Postscript */
	EPS_PS("252150532D41646F6265"),
	
	/** Adobe Acrobat */
	PDF("255044462D312E"),
	
	/** Windows Password */
	PWL("E3828596"),
	
	/** ZIP Archive */
	ZIP("504B0304"),
	
	/** ARAR Archive */
	RAR("52617221"),
	
	/** WAVE */
	WAV("57415645"),
	
	/** AVI */
	AVI("41564920"),
	
	/** Real Audio */
	RAM("2E7261FD"),
	
	/** Real Media */
	RM("2E524D46"),
	
	/** Quicktime */
	MOV("6D6F6F76"),
	
	/** Windows Media */
	ASF("3026B2758E66CF11"),
	
	/** MIDI */
	MID("4D546864");
	
	private String value = "";

	private FileType(String value) {
		this.value = value;
	}
	
	public String getValue() {
		return value;
	}

	public void setValue(String value) {
		this.value = value;
	}
	
}

2.新建一个文件工具类,用来判断上传文件的类型

import java.io.FileInputStream;
import java.io.IOException;
import java.io.InputStream;


public class FilUtil {
	
	/** 判断文件类型  */
	public static FileType getType(String filePath) throws IOException {
		// 获取文件头
		String fileHead = getFileHeader(filePath);
		
		if (fileHead != null && fileHead.length() > 0) {
			fileHead = fileHead.toUpperCase();
			FileType[] fileTypes = FileType.values();
			
			for (FileType type : fileTypes) {
				if (fileHead.startsWith(type.getValue())) {
					return type;
				}
			}
		}
		
		return null;
	}
	
	/** 读取文件头 */
	private static String getFileHeader(String filePath) throws IOException {
		byte[] b = new byte[28];
		InputStream inputStream = null;
		
		try {
			inputStream = new FileInputStream(filePath);
			inputStream.read(b, 0, 28);
		} finally {
			if (inputStream != null) {
				inputStream.close();
			}
		}
		
		return bytesToHex(b);
	}
	
	/** 将字节数组转换成16进制字符串 */
	public static String bytesToHex(byte[] src){  
	    StringBuilder stringBuilder = new StringBuilder("");  
	    if (src == null || src.length <= 0) {  
	        return null;  
	    }
	    for (int i = 0; i < src.length; i++) {  
	        int v = src[i] & 0xFF;  
	        String hv = Integer.toHexString(v);  
	        if (hv.length() < 2) {  
	            stringBuilder.append(0);  
	        }  
	        stringBuilder.append(hv);  
	    }  
	    return stringBuilder.toString();  
	} 
	
}

以上,需要注意的是,可能存在一种类型文件的魔数与另一种类型文件魔数的前面部分相等(如‘D0CF11E0’与‘D0CF11E0A1B11AE1’),所以应该尽量将更长的魔数值放在上面。这里的文件与魔数枚举得也不全面,但思路就这样吧。

参考文献
[1]陈康贤.大型分布式网站架构设计与实践[M].北京:电子工业出版社.2014.09

BarackHusseinObama
关注
专栏目录
java-文件工具,可以查看文件类型文件魔数,可以判断是否是视频文件,音乐文件,图片文件等等
11-13
java文件的工具,封装了常用的操作,尤其针对文件的实际类型,通过获取文件的byte,来查看文件起始字节的魔数值,通过魔数值来判断文件类型,工具集合了常用的文件类型对应的魔数,也封装了文件类型判断方法
java验证文件真实格式和编码格式工具
11-23
java验证文件真实格式和编码格式工具,验证文件文件格式和文件的编码格式给出正确的文件类型以及编码格式,从此解决文件解析乱码问题的烦恼
文件格式的唯一标识-魔数
最新发布
weixin_43837016的博客
07-31 1017
魔法数是文件的前几位,它唯一地标识了文件类型。这使得编程更容易,因为不需要搜索复杂的文件结构来识别文件类型。例如,jpeg文件以ffd8 ffe0 0010 4a46 4946 0001 0101 0047......JFIF........G开头,ffd8表示它是JPEG文件,ffe0标识JFIF类型结构。有一个ascii编码“JFIF”,它在长度代码之后出现,但这不是识别文件所必需的。前4个字节唯一地做到这一点。这给出了一个正在进行的文件类型魔法数列表。
Office文件结构解析
qq_42814021的博客
11-02 6339
文章目录Office文件Office2007之前的版本Office2007及之后的版本OOXML = OPC + \*MLOPC*MLdocx文件的解析流程 Office文件 之前在项目开发过程中,进行文件类型判断时,发现doc和docx文件的结构是不同的,很是好奇,特来深究一番。 doc和docx、xls和xlsx、ppt和pptx的不同,其原理都是一样的。 doc是Office 2007之前的版本;docx是Office 2007之后的版本。下面详细介绍一下: 参考文档: Office恶意文件解析与混淆
java文件上传判断文件类型为表格_Java 通过魔数判断上传文件类型
weixin_28678517的博客
02-16 684
前言(转https://blog.csdn.net/t894690230/article/details/51242110)文件上传功能是很多网站都必须的功能,而判断文件类型不仅可以过滤文件的上传,同时也能防范用户上传恶意的可执行文件和脚本,以及将文件上传服务器当作免费的文件存储服务器使用。而对于上传文件来说,不能简单的通过后缀名来判断文件类型,因为恶意攻击可以将可执行文件的后缀名称改为图片或者...
java 判断上传文件类型
qq_59125846的博客
01-10 572
java 判断上传文件类型
java如何实现判断文件的真实类型
08-29
为了解决在用户上传文件的时候在服务器端判断文件类型的问题,故用获取文件头的方式,直接读取文件的前几个字节,来判断上传文件是否符合格式。 二、Java获取文件头信息 Java可以通过文件输入流(FileInputStream)...
java实现上传文件类型检测过程解析
08-25
"Java 实现上传文件类型检测过程解析" Java 实现上传文件类型检测过程解析是指在进行文件上传时,对上传文件的格式进行控制,以防止黑客将病毒脚本上传。单纯的将文件名的类型进行截取的方式非常容易遭到破解,...
SpringBoot文件上传控制及Java 获取和判断文件头信息
08-28
2. Java 获取和判断文件头信息:如何使用 Java 语言来获取和判断文件头信息,包括如何使用 MultipartFile 对象来获取文件信息,以及如何判断文件类型和大小等信息。 3. Ajax 文件上传:如何使用 Ajax 方式上传文件...
Java判断上传图片格式的实例代码
08-25
Java判断上传图片格式的实例代码 在本文中,我们将详细介绍Java判断上传图片格式的实例代码,主要讲解了如何使用Java判断上传的图片格式。我们都知道,客户上传图片时,可能会将png的图片后缀名改为jpg,从而绕过...
Java获取文件类型和扩展名的实现方法
08-31
总的来说,Java中获取文件类型和扩展名的方式主要包括使用`File`获取文件名和扩展名,以及通过探测MIME类型或读取文件头来判断文件类型。实际开发中,应根据具体需求选择合适的方法。注意,确保在处理用户提供的...
根据文件头数据判断文件类型
sinat_24401621的博客
05-28 2710
现有一文件,其扩展名未知或标记错误。假设它是一个正常的、非空的文件,且将扩展名更正后可以正常使用,那么,如何判断它是哪种类型文件? 在后缀未知,或者后缀被修改的文件,依然通过文件头来判断文件究竟是什么文件类型。我们可以使用一个文本编辑工具如UltraEdit打开文件(16进制模式下),然后看文件头是什么字符,以下是常见文件类型文件头字符(16进制),希望对你有帮助: JPEG (jpg)
PHP检测文件类型
junqing124的专栏
02-09 2904
/** * 检证文件类型 * * @author Silver */ class FileTypeValidation { // 文件类型,不同的头信息 private static $_fileFormats = Array( 'jp2' => '0000000C6A502020', '3gp' => '0000002066747970', '3gp5' => '000000186674797
java 二进制报文头_转自:java 文件格式二进制头文件校验
weixin_39593277的博客
02-28 285
转自:https://blog.csdn.net/useprogram/article/details/90637401public class FileTypeUtil {private final static Map FILE_TYPE_MAP = new HashMap();private static Logger log = LoggerFactory.getLogger(FileTy...
Java判断文件类型
热门推荐
shixing_11的专栏
07-02 5万+
    通常,在WEB系统中,上传文件时都需要做文件类型校验,大致有如下几种方法:1. 通过后缀名,如exe,jpg,bmp,rar,zip等等。2. 通过读取文件,获取文件的Content-type来判断。3. 通过读取文件流,根据文件流中特定的一些字节标识来区分不同类型文件。然而,在安全性较高的业务场景中,1,2两种方法的校验会被轻易绕过。1. 伪造后缀名,如图片的,非常容易修改。2. 伪造文件的Content-type,这个稍微复杂点,为了直观,截图如下:3.较安全,但是要读取文件,并有16进制转
C语言_获取文件大小
17岁boy的博客
05-29 8829
在操作文件时获取文件大小非常简单,我们只需要将文件定位到文件尾,然后在使用ftell获取fp指针到文件第一个字节的偏移量时多少就可以了!//获取文件长度 fseek(fp, 0, SEEK_END); //定位到文件末 int nFileLen = ftell(fp); //文件长度最后别忘记定位到文件头,不然读取的时候会默认从FP指针位置开始读取,也就是文件尾,这样是读取不出任何内容的!f...
java判断文件真实类型
weixin_30487317的博客
08-15 535
代码如下: import java.io.FileInputStream; import java.io.IOException; import java.util.HashMap; /** * <p> * 描述:获取和判断文件头信息 * |--文件头是位于文件开头的一段承担一定任务的数据,一般都在开头的部分。 * |--头文件作为一种包...
java判断上传文件类型
05-12
Java中,可以通过以下方法来判断上传文件类型: 1. 通过文件名后缀名判断 可以通过文件名中的后缀名来判断文件类型,例如: ```java String fileName = "example.jpg"; if (fileName.endsWith(".jpg") || fileName.endsWith(".jpeg")) { // 文件类型为jpg或jpeg } else if (fileName.endsWith(".png")) { // 文件类型为png } else { // 其他文件类型 } ``` 但需要注意的是,文件名后缀可以被篡改,因此此方法不是十分可靠。 2. 通过文件的MIME类型判断 可以通过文件的MIME类型判断文件类型,例如: ```java import javax.activation.MimetypesFileTypeMap; MimetypesFileTypeMap mimeTypesMap = new MimetypesFileTypeMap(); String mimeType = mimeTypesMap.getContentType(filePath); if (mimeType.startsWith("image/")) { // 文件类型为图片 } else if (mimeType.startsWith("video/")) { // 文件类型为视频 } else if (mimeType.startsWith("text/")) { // 文件类型为文本文件 } else { // 其他文件类型 } ``` 需要注意的是,MIME类型也可以被篡改。 3. 通过文件内容判断 可以通过读取文件的内容来判断文件类型,例如: ```java import java.io.*; public static String getFileType(String filePath) throws IOException { InputStream inputStream = new FileInputStream(filePath); byte[] bytes = new byte[4]; inputStream.read(bytes); inputStream.close(); String type = ""; String fileHead = bytesToHexString(bytes); if (fileHead == null || fileHead.length() == 0) { return null; } fileHead = fileHead.toUpperCase(); FileType[] fileTypes = FileType.values(); for (FileType fileType : fileTypes) { if (fileHead.startsWith(fileType.getValue())) { type = fileType.name(); break; } } return type; } public static String bytesToHexString(byte[] bytes) { StringBuilder stringBuilder = new StringBuilder(); if (bytes == null || bytes.length <= 0) { return null; } for (int i = 0; i < bytes.length; i++) { int v = bytes[i] & 0xFF; String hv = Integer.toHexString(v); if (hv.length() < 2) { stringBuilder.append(0); } stringBuilder.append(hv); } return stringBuilder.toString(); } enum FileType { JPEG("FFD8FF"), // JPEG (jpg) PNG("89504E47"), // PNG (png) GIF("47494638"), // GIF (gif) TIFF("49492A00"), // TIFF (tif) BMP("424D"), // Windows Bitmap (bmp) DWG("41433130"), // CAD (dwg) PSD("38425053"), // Adobe Photoshop (psd) RTF("7B5C727466"), // Rich Text Format (rtf) XML("3C3F786D6C"), // XML (xml) HTML("68746D6C3E"), // HTML (html) PDF("255044462D312E"), // Adobe PDF (pdf) ZIP("504B0304"), // ZIP Archive (zip) RAR("52617221"), // RAR Archive (rar) WAV("57415645"), // Wave (wav) AVI("41564920"), // AVI (avi) MP4("00000020667479706D70"), // MPEG-4 (mp4) MPG("000001BA"), // MPEG (mpg) WMV("3026B2758E66CF11"), // Windows Media Video (wmv) MID("4D546864"); // MIDI (mid) private String value = ""; private FileType(String value) { this.value = value; } public String getValue() { return value; } } ``` 此方法可以通过读取文件的前几个字节来判断文件类型,比较可靠,但需要注意的是,不同类型文件前几个字节可能是相同的,因此有一定的误判率。
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值