Javaweb 后台文件验证整理

最新推荐文章于 2024-07-26 03:40:47 发布
最新推荐文章于 2024-07-26 03:40:47 发布
阅读量2.5k 收藏 2
点赞数 1
分类专栏: JAVA 文章标签: 文件类型验证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30512027/article/details/52289908
版权


现在大多网站都允许用户上传文件  通常上传文件时都需要做文件的类型校验,大致有如下几种方法:

1. 通过后缀名

2. 通过读取文件,获取文件的Content-type来判断。

3. 通过读取文件流,根据文件流中特定的一些字节标识来区分不同类型的文件。

4. 看是否能获取图片流判断图片

1,2是常用的手法 然而,在安全性较高的业务场景中,12两种方法的校验会被轻易绕过。

1)直接修改后缀名

2)修改数据源 伪造文件的Content-type

3,4种相对安全但性能稍差4只能处理图片,根据项目需要可以自行取舍

但是若通过修改文件流的方法,给一张本身合法的图片中强行写入一些恶意代码,或者病毒代码,这样前面的方法仍然能够顺利通过,因为它本身是张正确格式的图片,仅仅读取字节与获取图片类型无法做到清除这种类型图片中隐藏的恶意代码

参考源文:http://blog.csdn.net/shixing_11/article/details/5720838

这位兄弟给出了一个图片处理解决方案  10年的文字 也没找到更详细的资料 感觉不太美

另一种方案:从环境上来处理 对文件目录设置权限 杀毒软件处理

最好的方案还是交给云文件服务器吧  万事大吉了 哈哈

废话一片下面上参考代码:

方法4

1、
ImageInputStream iis = ImageIO.createImageInputStream(resFile);//resFile为需被
Iterator<ImageReader> iter = ImageIO.getImageReaders(iis);
if (!iter.hasNext()) {//文件不是图片
    System.out.println("此文件不为图片文件");
}
2、
BufferedImage bi = ImageIO.read(resFile);
if(bi == null){
   System.out.println("此文件不为图片文件");
}

方法3:

package com;  

  

import java.io.FileInputStream;  

import java.io.FileNotFoundException;  

import java.io.IOException;  

import java.util.Date;  

import java.util.HashMap;  

import java.util.Iterator;  

import java.util.Map;  

import java.util.Set;  

  

public class FileType {  

      

    public final static Map<String, String>FILE_TYPE_MAP =new HashMap<String, String>();       

      

    private FileType(){}       

    static{       

        getAllFileType(); //初始化文件类型信息       

    }       

           

    /**    

     * Discription:[getAllFileType,常见文件头信息]  

     */       

    private static void getAllFileType()       

    {       

        FILE_TYPE_MAP.put("ffd8ffe000104a464946","jpg"); //JPEG (jpg)       

        FILE_TYPE_MAP.put("89504e470d0a1a0a0000","png"); //PNG (png)       

        FILE_TYPE_MAP.put("47494638396126026f01","gif"); //GIF (gif)       

        FILE_TYPE_MAP.put("49492a00227105008037","tif"); //TIFF (tif)       

        FILE_TYPE_MAP.put("424d228c010000000000","bmp"); //16色位图(bmp)       

        FILE_TYPE_MAP.put("424d8240090000000000","bmp"); //24位位图(bmp)       

        FILE_TYPE_MAP.put("424d8e1b030000000000","bmp"); //256色位图(bmp)       

        FILE_TYPE_MAP.put("41433130313500000000","dwg"); //CAD (dwg)       

        FILE_TYPE_MAP.put("3c21444f435459504520","html"); //HTML (html)  

        FILE_TYPE_MAP.put("3c21646f637479706520","htm"); //HTM (htm)  

        FILE_TYPE_MAP.put("48544d4c207b0d0a0942","css"); //css  

        FILE_TYPE_MAP.put("696b2e71623d696b2e71","js"); //js  

        FILE_TYPE_MAP.put("7b5c727466315c616e73","rtf"); //Rich Text Format (rtf)       

        FILE_TYPE_MAP.put("38425053000100000000","psd"); //Photoshop (psd)       

        FILE_TYPE_MAP.put("46726f6d3a203d3f6762","eml"); //Email [Outlook Express 6] (eml)         

        FILE_TYPE_MAP.put("d0cf11e0a1b11ae10000","doc"); //MS Excel 注意:wordmsi 和excel的文件头一样       

        FILE_TYPE_MAP.put("d0cf11e0a1b11ae10000","vsd"); //Visio 绘图       

        FILE_TYPE_MAP.put("5374616E64617264204A","mdb"); //MS Access (mdb)        

        FILE_TYPE_MAP.put("252150532D41646F6265","ps");       

        FILE_TYPE_MAP.put("255044462d312e350d0a","pdf"); //Adobe Acrobat (pdf)     

        FILE_TYPE_MAP.put("2e524d46000000120001","rmvb"); //rmvb/rm相同    

        FILE_TYPE_MAP.put("464c5601050000000900","flv"); //flvf4v相同    

        FILE_TYPE_MAP.put("00000020667479706d70","mp4");   

        FILE_TYPE_MAP.put("49443303000000002176","mp3");   

        FILE_TYPE_MAP.put("000001ba210001000180","mpg"); //       

        FILE_TYPE_MAP.put("3026b2758e66cf11a6d9","wmv"); //wmvasf相同      

        FILE_TYPE_MAP.put("52494646e27807005741","wav"); //Wave (wav)    

        FILE_TYPE_MAP.put("52494646d07d60074156","avi");    

        FILE_TYPE_MAP.put("4d546864000000060001","mid"); //MIDI (mid)     

        FILE_TYPE_MAP.put("504b0304140000000800","zip");      

        FILE_TYPE_MAP.put("526172211a0700cf9073","rar");     

        FILE_TYPE_MAP.put("235468697320636f6e66","ini");     

        FILE_TYPE_MAP.put("504b03040a0000000000","jar");   

        FILE_TYPE_MAP.put("4d5a9000030000000400","exe");//可执行文件  

        FILE_TYPE_MAP.put("3c25402070616765206c","jsp");//jsp文件  

        FILE_TYPE_MAP.put("4d616e69666573742d56","mf");//MF文件  

        FILE_TYPE_MAP.put("3c3f786d6c2076657273","xml");//xml文件  

        FILE_TYPE_MAP.put("494e5345525420494e54","sql");//xml文件  

        FILE_TYPE_MAP.put("7061636b616765207765","java");//java文件  

        FILE_TYPE_MAP.put("406563686f206f66660d","bat");//bat文件  

        FILE_TYPE_MAP.put("1f8b0800000000000000","gz");//gz文件  

        FILE_TYPE_MAP.put("6c6f67346a2e726f6f74","properties");//bat文件  

        FILE_TYPE_MAP.put("cafebabe0000002e0041","class");//bat文件  

        FILE_TYPE_MAP.put("49545346030000006000","chm");//bat文件  

        FILE_TYPE_MAP.put("04000000010000001300","mxp");//bat文件  

        FILE_TYPE_MAP.put("504b0304140006000800","docx");//docx文件  

        FILE_TYPE_MAP.put("d0cf11e0a1b11ae10000","wps");//WPS文字wps、表格et、演示dps都是一样的  

        FILE_TYPE_MAP.put("6431303a637265617465","torrent");  

        //txt文档全文不含0 ~~  

            

        FILE_TYPE_MAP.put("6D6F6F76","mov"); //Quicktime (mov)    

        FILE_TYPE_MAP.put("FF575043","wpd"); //WordPerfect (wpd)     

        FILE_TYPE_MAP.put("CFAD12FEC5FD746F","dbx"); //Outlook Express (dbx)       

        FILE_TYPE_MAP.put("2142444E","pst"); //Outlook (pst)        

        FILE_TYPE_MAP.put("AC9EBD8F","qdf"); //Quicken (qdf)       

        FILE_TYPE_MAP.put("E3828596","pwl"); //Windows Password (pwl)           

        FILE_TYPE_MAP.put("2E7261FD","ram"); //Real Audio (ram)       

    }                       

      

    /**

     * 得到上传文件的文件头

     * @param src

     * @return 

     */  

    public static String bytesToHexString(byte[]src) {  

        StringBuilder stringBuilder =new StringBuilder();  

        if (src ==null || src.length <= 0) {  

            return null;  

        }  

        for (int i = 0;i < src.length; i++) {  

            int v =src[i] & 0xFF;  

            String hv = Integer.toHexString(v);  

            if (hv.length() < 2) {  

                stringBuilder.append(0);  

            }  

            stringBuilder.append(hv);  

        }  

        return stringBuilder.toString();  

    }  

      

    /**

     * 根据制定文件的文件头判断其文件类型

     * @param filePaht

     * @return 

     */  

    public static String getFileType(StringfilePaht){  

        String res = null;  

        try {  

            FileInputStream is = new FileInputStream(filePaht);  

            byte[] b = new byte[10];  

            is.read(b, 0,b.length);  

            String fileCode = bytesToHexString(b);    

              

            System.out.println(fileCode);  

              

              

            //这种方法在字典的头代码不够位数的时候可以用但是速度相对慢一点  

            Iterator<String> keyIter =FILE_TYPE_MAP.keySet().iterator();  

            while(keyIter.hasNext()){  

                String key = keyIter.next();  

                if(key.toLowerCase().startsWith(fileCode.toLowerCase()) ||fileCode.toLowerCase().startsWith(key.toLowerCase())){  

                    res = FILE_TYPE_MAP.get(key);  

                    break;  

                }  

            }  

        } catch (FileNotFoundExceptione) {  

            e.printStackTrace();  

        } catch (IOExceptione) {  

            e.printStackTrace();  

        }  

        return res;  

    }  

  

    public static void main(String[]args) throws Exception {  

          

        String type = getFileType("C:/test/eee.WMV");  

        System.out.println("eee.WMV : "+type);  

        System.out.println();   

          

        type = getFileType("C:/test/350996.wav");  

        System.out.println("350996.wav : "+type);  

        System.out.println();   

                  

    }  

}  

 

原文:http://blog.csdn.net/songylwq/article/details/6139753

//http://www.cnblogs.com/zlgxzswjy/p/5193590.html

 

程序猿吉良吉影
关注
专栏目录
JAVA对文件类型的校验
mr`zo
08-07 1577
 第一步:编写一个枚举,在网上可以找到一些文件后缀所对应的前6位编码,例如JPEG对应的是FFD8FF   package com.ssh.pm_mark.core.test; public enum FileType { /** * JEPG. */ JPEG("FFD8FF"), ...
JavaWeb项目excel文件导入
dapyandxpy的博客
12-01 7510
项目期间过excel文件导入 今天来整理一下 1. 首先在web页面添加一个button按钮 “导入Excel” 注意: input 的类型必须是file才可以 2. html页面:$(function() { $("#inputExcel").change(function(){ initProvince(); // 获得文件 v
java后台验证附件格式
05-20
这个java文件就差不多文档类的.图片、音频、视频等格式验证,主要是读取文档编码前面的格式验证
Java验证文件
weixin_48860638的博客
01-05 1245
/** * @Title:isValidFileName * @Description:TODO(验证文件名是否合法) * @param fileName 文件名 * @return 文件名:true通过、false不通过 */ public static boolean isValidFileName(String fileName) { if (fileName == null || fileName.length() > 255) return false; .
java校验文件后缀
最新发布
weixin_40765217的博客
07-26 59
Java校验文件后缀的实现方法 作为一名刚入行的开发者,你可能会遇到需要校验文件后缀的场景。这通常用于确保用户上传的文件符合预期的格式。在Java中,我们可以通过字符串操作来实现这一功能。下面,我将为你详细讲解如何实现“Java校验文件后缀”。 流程概述 首先,我们可以通过一张表格来展示实现“Java校验文件后缀”的整个流...
java验证文件真实格式和编码格式工具类
11-23
java验证文件真实格式和编码格式工具类,验证文件文件格式和文件的编码格式给出正确的文件类型以及编码格式,从此解决文件解析乱码问题的烦恼
服务器端验证文件格式
For_living
11-09 913
<br />package com.li.web.util;<br />import java.io.File;<br />import java.io.IOException;<br />import java.util.ArrayList;<br />import java.util.List;<br />import java.util.Properties;<br />public class InvalidFileType {<br /> private static Properties pro
JavaWeb笔记整理+SSM+SpringBoot(基础)
weixin_53031149的博客
10-24 1912
JavaWeb+SSM+SpringBoot(基础)
JavaWeb书城项目(尚硅谷视频整理自用)
qq_43130076的博客
03-21 2284
关于图片失效的问题,后面题主尽量重新填坑,因为我也忘了那些地方都是些什么图 第一阶段:表单验证 1、新建一个模块 2、把书城的静态资源拷贝到bookStore工程下 3、登录注册页面表单验证 在用户登录注册页面对输入数据进行一些规则限制 <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title>尚硅谷会员注册页面</title> <link href="../..
javaweb项目部署到阿里云服务器上
qq_40930582的博客
06-07 5344
由于软件工程课程的app项目要联网使用,所以将javaweb写的后台挂到阿里云上,参考了许多文章,大致整理了一下: 首先有以下几个步骤: 1.购买服务器; 2.服务器设置; 3.远程连接; 4.安装jdk; 5.Mysql配置; 6.Tomcat 配置; 7.部署 1.购买服务器 首先需要购买服务器。我购买的是轻量应用服务器,预装的Centos7。 2.服务器设置 可以进入...
JavaWeb_11_原生Web应用开发
yinuo_chao的博客
03-15 1683
JavaWeb_11_原生Web应用开发 尝试开发第一个web应用吧!点击跳转原生Web应用开发视频 留恋相似处,令我们停滞不前;接纳相异处,带我们改变未来。 超链接 idea运行java项目js中文乱码如何解决 配置tomcat启动参数-Dfile.encoding=UTF-8后,IDEA(Eclipse 类似)控制台乱码 intelij idea java.lang.ClassNotFoundException P28 JDBC复习 什么是JDBC:Java连接数据库! 需要jar包的支持:
Java后端以MultipartFile形式接受webp图片,并判断是否为动图
热门推荐
weixin_44123540的博客
07-16 1万+
前几天遇到一个问题,前端上传的图片都为webp格式,但有些是动图,有些不是动图 由于它们的后缀都是.webp,无法通过判断后缀来解决,于是通过读取二进制流来判断是否为动图。 如图,经过测试发现,读取动图webp二进制流,前两行会包含一个 ANIM 字符串。否则则为静态,静态图片的二进制流前两行也会包含一个字符串 ALPH 代码解决: public Integer uploadPicture(MultipartFile multipartFileImageFile) throws IOException {
后端校验--jsr303的学习
sdTAyhn的博客
05-04 346
最近看着尚硅谷最新的谷粒商城,学到新的知识,就是JSR303数据校验,知识颇多。学完之后,打算以博客的形式梳理该阶段的知识。 导入jar包 看了这个视频我才知道,javax包下居然有这么多的校验注解可以使用,比使用正则表达式来处理强的多,面对复杂场景有很大灵活性,减少很多代码。都在javax.validation.constraints包下 另外在提一下,Url这个注解是在org.hibern...
漏洞:上传图片的时候没有对文件后缀名进行过滤,对图片内容只效验了图片头,没有效验图片内容,服务器被获取最高权限
爪哇程序猿
12-17 309
系统不允许上传jsp、exe等非常规文件 操作步骤:上传jpg文件:1.jpg;然后上传,利用抓包工具进行抓包,获取请求,修改请求头filename为1.jsp,内容更改,绕过后台校验 ...
JAVA校验文件类型
Great_est的博客
02-06 2083
通常校验文件类型,是获取文件后缀,根据后缀名进行判断。但其实这种方式是有被欺骗风险的。这里记录几种判断文件类型的方式。
java判断word文件是否正常
mischen520的博客
11-25 928
最近在word合并的时候,发现合并之后的word文档内容打不开,然后去看官方的合并word的代码,发现都没有问题,然后就将word解析出来看,发现有问题的word里面的图片是无法解析的,而正常word里面的图片是可以解析的,由此可以判断一个word文档内容是否有异常,先将word解析,看解析的文档是否正常,下面提供具体的代码示例,内容仅供大家参考,1.导入pom.xml依赖包。
Java 通过魔数判断上传文件的类型
u013072041的专栏
03-19 1069
原文地址:http://blog.csdn.net/t894690230/article/details/51242110 前言 文件上传功能是很多网站都必须的功能,而判断文件类型不仅可以过滤文件的上传,同时也能防范用户上传恶意的可执行文件和脚本,以及将文件上传服务器当作免费的文件存储服务器使用。 而对于上传文件来说,不能简单的通过后缀名来判断文件的类型,因为恶意攻击可以将可执行
JavaWeb学习】—MIME类型(十四)
道阻且长,行则将至。
09-17 352
常见的MIME类型如下:
JavaWeb酷炫文件上传技术详解与实例
JavaWeb文件上传下载是Web应用开发中的重要组成部分,它允许用户在网站上上传和下载文件,满足用户多样化的交互需求。本篇文章将深入讲解如何在JavaWeb环境中实现文件上传功能,包括但不限于基础原理、技术实现以及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值