Java判断文件类型 (转)

最新推荐文章于 2024-06-10 08:00:00 发布
最新推荐文章于 2024-06-10 08:00:00 发布
阅读量1k 收藏
点赞数
分类专栏: j2ee
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kingschan/article/details/19033509
版权

通常,在WEB系统中,上传文件时都需要做文件的类型校验,大致有如下几种方法:

1. 通过后缀名,如exe,jpg,bmp,rar,zip等等。

2. 通过读取文件,获取文件的Content-type来判断。

3. 通过读取文件流,根据文件流中特定的一些字节标识来区分不同类型的文件。

4. 若是图片,则通过缩放来判断,可以缩放的为图片,不可以的则不是。

然而,在安全性较高的业务场景中,1,2两种方法的校验会被轻易绕过。

1. 伪造后缀名,如图片的,非常容易修改。

2. 伪造文件的Content-type,这个稍微复杂点,为了直观,截图如下:

Java判断文件类型 <wbr>(转)

3.较安全,但是要读取文件,并有16进制转换等操作,性能稍差,但能满足一定条件下对安全的要求,所以建议使用。

  但是文件头的信息也可以伪造,截图如下,对于图片可以采用图片缩放或者获取图片宽高的方法避免伪造头信息漏洞。

Java判断文件类型 <wbr>(转)

                                              被伪装成gif的恶意图片文件

对应的Java代码如下:

import java.awt.image.BufferedImage;  

import java.io.File;  

import java.io.FileInputStream;  

import java.io.FileNotFoundException;  

import java.io.IOException;  

import java.io.InputStream;  

import java.util.HashMap;  

import java.util.Iterator;  

import java.util.Map;  

import java.util.Map.Entry;  

import javax.imageio.ImageIO;  

import javax.imageio.ImageReader;  

import javax.imageio.stream.ImageInputStream;  

    

public class FileTypeTest    

{    

    public final static Map FILE_TYPE_MAP = new HashMap();    

        

    private FileTypeTest(){}    

    static{    

        getAllFileType();  //初始化文件类型信息    

    }    

        

       

    private static void getAllFileType()    

    {    

        FILE_TYPE_MAP.put("jpg", "FFD8FF"); //JPEG (jpg)    

        FILE_TYPE_MAP.put("png", "89504E47");  //PNG (png)    

        FILE_TYPE_MAP.put("gif", "47494638");  //GIF (gif)    

        FILE_TYPE_MAP.put("tif", "49492A00");  //TIFF (tif)    

        FILE_TYPE_MAP.put("bmp", "424D"); //Windows Bitmap (bmp)    

        FILE_TYPE_MAP.put("dwg", "41433130"); //CAD (dwg)    

        FILE_TYPE_MAP.put("html", "68746D6C3E");  //HTML (html)    

        FILE_TYPE_MAP.put("rtf", "7B5C727466");  //Rich Text Format (rtf)    

        FILE_TYPE_MAP.put("xml", "3C3F786D6C");    

        FILE_TYPE_MAP.put("zip", "504B0304");    

        FILE_TYPE_MAP.put("rar", "52617221");    

        FILE_TYPE_MAP.put("psd", "38425053");  //Photoshop (psd)    

        FILE_TYPE_MAP.put("eml", "44656C69766572792D646174653A");  //Email [thorough only] (eml)   

        FILE_TYPE_MAP.put("dbx", "CFAD12FEC5FD746F");  //Outlook Express (dbx)    

        FILE_TYPE_MAP.put("pst", "2142444E");  //Outlook (pst)    

        FILE_TYPE_MAP.put("xls", "D0CF11E0");  //MS Word    

        FILE_TYPE_MAP.put("doc", "D0CF11E0");  //MS Excel 注意:word 和 excel的文件头一样    

        FILE_TYPE_MAP.put("mdb", "5374616E64617264204A");  //MS Access (mdb)    

        FILE_TYPE_MAP.put("wpd", "FF575043"); //WordPerfect (wpd)     

        FILE_TYPE_MAP.put("eps", "252150532D41646F6265");    

        FILE_TYPE_MAP.put("ps", "252150532D41646F6265");    

        FILE_TYPE_MAP.put("pdf", "255044462D312E");  //Adobe Acrobat (pdf)    

        FILE_TYPE_MAP.put("qdf", "AC9EBD8F");  //Quicken (qdf)    

        FILE_TYPE_MAP.put("pwl", "E3828596");  //Windows Password (pwl)    

        FILE_TYPE_MAP.put("wav", "57415645");  //Wave (wav)    

        FILE_TYPE_MAP.put("avi", "41564920");    

        FILE_TYPE_MAP.put("ram", "2E7261FD");  //Real Audio (ram)    

        FILE_TYPE_MAP.put("rm", "2E524D46");  //Real Media (rm)    

        FILE_TYPE_MAP.put("mpg", "000001BA");  //    

        FILE_TYPE_MAP.put("mov", "6D6F6F76");  //Quicktime (mov)    

        FILE_TYPE_MAP.put("asf", "3026B2758E66CF11"); //Windows Media (asf)    

        FILE_TYPE_MAP.put("mid", "4D546864");  //MIDI (mid)    

    }    

    

    public static void main(String[] args) throws Exception    

    {    

        File f = new File("c://aaa.gif");    

        if (f.exists())    

        {    

            String filetype1 = getImageFileType(f);    

            System.out.println(filetype1);    

            String filetype2 = getFileByFile(f);    

            System.out.println(filetype2);    

        }    

    }    

    

       

    public final static String getImageFileType(File f)    

    {    

        if (isImage(f))  

        {  

            try  

            {  

                ImageInputStream iis = ImageIO.createImageInputStream(f);  

                Iterator iter = ImageIO.getImageReaders(iis);  

                if (!iter.hasNext())  

                {  

                    return null;  

                }  

                ImageReader reader = iter.next();  

                iis.close();  

                return reader.getFormatName();  

            }  

            catch (IOException e)  

            {  

                return null;  

            }  

            catch (Exception e)  

            {  

                return null;  

            }  

        }  

        return null;  

    }    

    

       

    public final static String getFileByFile(File file)    

    {    

        String filetype = null;    

        byte[] b = new byte[50];    

        try    

        {    

            InputStream is = new FileInputStream(file);    

            is.read(b);    

            filetype = getFileTypeByStream(b);    

            is.close();    

        }    

        catch (FileNotFoundException e)    

        {    

            e.printStackTrace();    

        }    

        catch (IOException e)    

        {    

            e.printStackTrace();    

        }    

        return filetype;    

    }    

        

       

    public final static String getFileTypeByStream(byte[] b)    

    {    

        String filetypeHex = String.valueOf(getFileHexString(b));    

        Iterator> entryiterator = FILE_TYPE_MAP.entrySet().iterator();    

        while (entryiterator.hasNext()) {    

            Entry entry =  entryiterator.next();    

            String fileTypeHexValue = entry.getValue();    

            if (filetypeHex.toUpperCase().startsWith(fileTypeHexValue)) {    

                return entry.getKey();    

            }    

        }    

        return null;    

    }    

        

     

    public static final boolean isImage(File file){  

        boolean flag = false;  

        try  

        {  

            BufferedImage bufreader = ImageIO.read(file);  

            int width = bufreader.getWidth();  

            int height = bufreader.getHeight();  

            if(width==0 || height==0){  

                flag = false;  

            }else {  

                flag = true;  

            }  

        }  

        catch (IOException e)  

        {  

            flag = false;  

        }catch (Exception e) {  

            flag = false;  

        }  

        return flag;  

    }  

      

       

    public final static String getFileHexString(byte[] b)    

    {    

        StringBuilder stringBuilder = new StringBuilder();    

        if (b == null || b.length <= 0)    

        {    

            return null;    

        }    

        for (int i = 0; i < b.length; i++)    

        {    

            int v = b[i] & 0xFF;    

            String hv = Integer.toHexString(v);    

            if (hv.length() < 2)    

            {    

                stringBuilder.append(0);    

            }    

            stringBuilder.append(hv);    

        }    

        return stringBuilder.toString();    

    }    

}  

这样,不管是传入的文件有后缀名,还是无后缀名,或者修改了后缀名,真正获取到的才是该文件的实际类型,这样避免了一些想通过修改后缀名或者Content-type信息来攻击的因素。但是性能与安全永远是无法同时完美的,安全的同时付出了读取文件的代价。本人建议可采用后缀名与读取文件的方式结合校验,毕竟攻击是少数,后缀名的校验能排除大多数用户,在后缀名获取不到时再通过获取文件真实类型校验,这样来适当提高性能。


kingschan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
无限级树(Java递归)
11-12
无限级树(Java递归) 2007-02-08 10:26 这几天,用java写了一个无限极的树,递归写的,可能代码不够简洁,性能不够好,不过也算是练习,这几天再不断改进。前面几个小图标的判断,搞死我了。 package ...
java 常见的面试题
03-11
4. **引入CSS**:有四种方式引入CSS:内联样式(使用`style`属性),内部样式表(`<style>`标签在`<head>`中),外部样式表(`<link>`标签引用.css文件),和@import规则(在内部样式表中使用)。 5. **HTML检查**...
Java去除字符串中存在的空格(包括NBSP格式的空格)
weixin_44072437的博客
09-01 4838
Java去除字符串中存在的空格(包括NBSP格式的空格)
java判断文件类型
weixin_42584507的博客
01-17 4470
Java可以使用文件后缀名或文件头来判断文件类型。 使用文件后缀名判断: 首先使用File类获取文件名,例如:File file = new File("example.txt"); 然后使用getName()方法获取文件名,例如:String fileName = file.getName(); 接着使用substring()方法截取文件后缀名,例如:String fileType = fil...
Java——IO流(一)-(2/9):File类的常用方法(判断文件类型、获取文件信息、创建删除文件、遍历文件夹)
最新发布
li13437542099的博客
06-10 641
File类创建文件的功能 方法名称 说明 public boolean createNewFile() 创建一个新的空的文件 public boolean mkdir() 只能创建一级文件夹 public boolean mkdirs() 可以创建多级文件夹 File类删除文件的功能 方法名称 说明 public boolean delete() 删除文件、空文件夹 注意:delete方法默认只能删除文件和空文件夹,删除后的文件不会进入回收站。
JAVA判断文件类型,通过文件头信息判断是什么文件类型
weixin_44723016的博客
08-24 1856
在物流项目中,创建订单后接口方会返回一个订单的标签数据,有时候是PDF文件,有时候是图片文件,有时候是报错信息,并且是直接以流的形式返回,错误信息变化太多,无法直接通过错误信息进行返回信息判断
通过java判断文件真实类型
qq_41787812的博客
10-09 2284
通过java判断文件真实类型
如何判断一个文件的类型
jimmyleeee的专栏
04-18 8333
在文章应用安全系列之二十四:文件上传_jimmyleeee的博客-CSDN博客描述了上传文件时需要判断文件的几个方面,其中一个就是文件的类型,当然,如果要根据文件的后缀判断,也能满足大部分需求,如果确实需要判断文件的类型,或者某些时刻文件没有扩展名时,就会遇到麻烦。 Java提供了集中方法来判断一个文件的类型,其中比较常用的方法是:Files.probeContentType,但是,它有一个缺点就是,当文件没有扩展名时,返回的结果是null,下面是一个使用这个方法的代码: public class T
JSTL详细标签库介绍
11-01
java异常处理的基础:<BR><BR>java的异常处理适用于在一个方法中能够检测出错误单不能处理错误的情况,这样方法将抛出一个异常(JAVA无法保证“存在”的异常处理程序能够处理某种异常,若“存在”,就“捕获”异常,...
jsp自己的经验总结
11-09
表达式语言(EL)简化了数据访问,而JSTL(JavaServer Pages Standard Tag Library)提供了一套标准标签库,用于常见的任务,如循环、条件判断等,使JSP代码更清晰。 - **MVC设计模式** 在实际项目中,通常推荐...
2021-2022计算机二级等级考试试题及答案No.13952.docx
10-27
2. 读取文件一行数据:在Java中,如果要一次从文件中读出一行数据,应该使用`BufferedReader`类的`readLine()`方法。 3. 控件属性修改:在Windows Forms或.NET框架中,若要改变控件的宽度,需要修改控件的`Width`...
JAVA基础----五种通过后缀名判断文件是否为所需类型的方法
weixin_63136015的博客
11-12 2132
JAVA基础----五种通过后缀名判断文件是否为所需类型的方法
HTML空格符号 nbsp; ensp; emsp; 介绍以及实现中文对齐的方法
热门推荐
极客神殿
02-22 1万+
一:不同空格符合的区别 &nbsp; 半角的不断行的空白格(推荐使用) &ensp; 半角的空格 &emsp; 全角的空格 详细的含义: &nbsp;:这是我们使用最多的空格,也就是按下space键产生的空格。在HTML中,如果你用空格键产生此空格,空格是不会累加的(只算1个)。要使用html实体表示才可累加。该空格占据宽度受字体影响明显而强烈。在inlin...
java 判断文件类型(根据文件头)
XTU_xyx的博客
09-21 4090
后缀判断的隐患: 对于判断前端(或网络)发送过来文件的类型,有些同学第一个想到的可能就是:根据其后缀名进行格式的判断。。。 正常情况下,是可以这样做。但实际上,任何文件的后缀都可以随意命名,因此仅通过后缀名判断其文件格式是不安全的。 如果有人将奇奇怪怪的文件后缀名改成你认为合法的后缀调用你的接口,那么你的服务器就变成了别人的网盘。 Solution: 我们可以根据文件头判断文件的格式。 什么是文件头(百度百科) 常见的图片的文件头(包括但不限于): 文件类型 文件头(这里是16进制) p
java&nbsp;判断&nbsp;android、iph…
jieke360的专栏
07-16 487
public boolean JudgeIsMoblie(HttpServletRequest request) { boolean isMoblie = false; String[] mobileAgents = { "iphone", "android", "phone", "mobile", "wap", "netfront", "java", "opera mobi", "opera m
Java学习笔记16&nbsp;&nbsp;字符串及equals方…
雪地车的博客
05-05 371
1.  equals()方法,该方法定义在Object类当中,因此java中的每个类都具有该方法,对于Object类的equals()方法来说,它是判断调 用equals()方法的引用与传进来的引用是否一致,即这两个引用是否指向的是同一个对象。     a)对于Object类的equals()方法来说,他等价于==。          Object类中的源码:            publ
&nbsp;和空格区别及去除区别
xuexizhe88的博客
02-16 6850
1、html中提供了6中空格,分别为&nbsp;&ensp;&emsp;&thinsp;&zwnj;&zwj; 具体区别看参考:http://www.cnblogs.com/chenshihaook/p/6186343.html 2、&nbsp;为不换行空格,全称No-Break Space,使用最多的空格,它是按下space键产生的空格。在HTML中,如果你用空格键产生此空格,空格是不会累加
&nbsp;&nbsp;
08-16
根据引用的内容,这段引用中包含了一些Vue.js代码和HTML代码,并讨论了换行符和空格在网页中的使用。其中,引用是关于添加和还原换行符的方法,引用是关于在编辑数据时获取详情和使用textarea的示例代码,引用是关于HTML中空格的处理和字符实体的使用。 问题中提到的&nbsp;是HTML中表示空格的字符实体。HTML通常会自动截取多余的空格,不管你加多少空格,都被看做一个空格。为了在网页中增加空格,可以使用&nbsp;表示空格。此外,还有其他常用的字符实体,如<表示小于号,>表示大于号,&表示&符号,"表示双引号,等等。 需要注意的是,引用的内容中有一些HTML实体被义了,所以在描述字符实体时需要参考编码义后的字符。 根据给定的引用内容,我无法直接回答问题,因为问题中的信息不完整。请提供更具体的问题或补充说明,我将尽力为您提供帮助。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [js+v-html+正则表达式去除所有& nbsp和html标签(& nbsp 换行 )](https://blog.csdn.net/xm_w_xm/article/details/91992754)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [html&nbsp;&nbsp;特殊字符()](https://blog.csdn.net/feiniu5566/article/details/13624619)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值