判断类型 java_Java判断文件类型

最新推荐文章于 2024-06-10 08:00:00 发布
最新推荐文章于 2024-06-10 08:00:00 发布
阅读量598 收藏
点赞数
文章标签: 判断类型 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31041421/article/details/114044213
版权

通常,在WEB系统中,上传文件时都需要做文件的类型校验,大致有如下几种方法:

1. 通过后缀名,如exe,jpg,bmp,rar,zip等等。

2. 通过读取文件,获取文件的Content-type来判断。

3. 通过读取文件流,根据文件流中特定的一些字节标识来区分不同类型的文件。

4. 若是图片,则通过缩放来判断,可以缩放的为图片,不可以的则不是。

然而,在安全性较高的业务场景中,1,2两种方法的校验会被轻易绕过。

1. 伪造后缀名,如图片的,非常容易修改。

2. 伪造文件的Content-type,这个稍微复杂点,为了直观,截图如下:

0_1278000562caAl.gif

3.较安全,但是要读取文件,并有16进制转换等操作,性能稍差,但能满足一定条件下对安全的要求,所以建议使用。

但是文件头的信息也可以伪造,截图如下,对于图片可以采用图片缩放或者获取图片宽高的方法避免伪造头信息漏洞。

0_1278060916VsVS.gif

被伪装成gif的恶意图片文件

对应的Java代码如下:

packageapistudy;

importjava.awt.image.BufferedImage;

importjava.io.File;

importjava.io.FileInputStream;

importjava.io.FileNotFoundException;

importjava.io.IOException;

importjava.io.InputStream;

importjava.util.HashMap;

importjava.util.Iterator;

importjava.util.Map;

importjava.util.Map.Entry;

importjavax.imageio.ImageIO;

importjavax.imageio.ImageReader;

importjavax.imageio.stream.ImageInputStream;

publicclassFileTypeTest

{

publicfinalstaticMap FILE_TYPE_MAP =newHashMap();

privateFileTypeTest(){}

static{

getAllFileType();  //初始化文件类型信息

}

/**

* Created on 2010-7-1

Discription:[getAllFileType,常见文件头信息]

* @author:[shixing_11@sina.com]

*/

privatestaticvoidgetAllFileType()

{

FILE_TYPE_MAP.put("jpg","FFD8FF");//JPEG (jpg)

FILE_TYPE_MAP.put("png","89504E47");//PNG (png)

FILE_TYPE_MAP.put("gif","47494638");//GIF (gif)

FILE_TYPE_MAP.put("tif","49492A00");//TIFF (tif)

FILE_TYPE_MAP.put("bmp","424D");//Windows Bitmap (bmp)

FILE_TYPE_MAP.put("dwg","41433130");//CAD (dwg)

FILE_TYPE_MAP.put("html","68746D6C3E");//HTML (html)

FILE_TYPE_MAP.put("rtf","7B5C727466");//Rich Text Format (rtf)

FILE_TYPE_MAP.put("xml","3C3F786D6C");

FILE_TYPE_MAP.put("zip","504B0304");

FILE_TYPE_MAP.put("rar","52617221");

FILE_TYPE_MAP.put("psd","38425053");//Photoshop (psd)

FILE_TYPE_MAP.put("eml","44656C69766572792D646174653A");//Email [thorough only] (eml)

FILE_TYPE_MAP.put("dbx","CFAD12FEC5FD746F");//Outlook Express (dbx)

FILE_TYPE_MAP.put("pst","2142444E");//Outlook (pst)

FILE_TYPE_MAP.put("xls","D0CF11E0");//MS Word

FILE_TYPE_MAP.put("doc","D0CF11E0");//MS Excel 注意:word 和 excel的文件头一样

FILE_TYPE_MAP.put("mdb","5374616E64617264204A");//MS Access (mdb)

FILE_TYPE_MAP.put("wpd","FF575043");//WordPerfect (wpd)

FILE_TYPE_MAP.put("eps","252150532D41646F6265");

FILE_TYPE_MAP.put("ps","252150532D41646F6265");

FILE_TYPE_MAP.put("pdf","255044462D312E");//Adobe Acrobat (pdf)

FILE_TYPE_MAP.put("qdf","AC9EBD8F");//Quicken (qdf)

FILE_TYPE_MAP.put("pwl","E3828596");//Windows Password (pwl)

FILE_TYPE_MAP.put("wav","57415645");//Wave (wav)

FILE_TYPE_MAP.put("avi","41564920");

FILE_TYPE_MAP.put("ram","2E7261FD");//Real Audio (ram)

FILE_TYPE_MAP.put("rm","2E524D46");//Real Media (rm)

FILE_TYPE_MAP.put("mpg","000001BA");//

FILE_TYPE_MAP.put("mov","6D6F6F76");//Quicktime (mov)

FILE_TYPE_MAP.put("asf","3026B2758E66CF11");//Windows Media (asf)

FILE_TYPE_MAP.put("mid","4D546864");//MIDI (mid)

}

publicstaticvoidmain(String[] args)throwsException

{

File f = newFile("c://aaa.gif");

if(f.exists())

{

String filetype1 = getImageFileType(f);

System.out.println(filetype1);

String filetype2 = getFileByFile(f);

System.out.println(filetype2);

}

}

/**

* Created on 2010-7-1

Discription:[getImageFileType,获取图片文件实际类型,若不是图片则返回null]

* @param File

* @return fileType

* @author:[shixing_11@sina.com]

*/

publicfinalstaticString getImageFileType(File f)

{

if(isImage(f))

{

try

{

ImageInputStream iis = ImageIO.createImageInputStream(f);

Iterator iter = ImageIO.getImageReaders(iis);

if(!iter.hasNext())

{

returnnull;

}

ImageReader reader = iter.next();

iis.close();

returnreader.getFormatName();

}

catch(IOException e)

{

returnnull;

}

catch(Exception e)

{

returnnull;

}

}

returnnull;

}

/**

* Created on 2010-7-1

Discription:[getFileByFile,获取文件类型,包括图片,若格式不是已配置的,则返回null]

* @param file

* @return fileType

* @author:[shixing_11@sina.com]

*/

publicfinalstaticString getFileByFile(File file)

{

String filetype = null;

byte[] b =newbyte[50];

try

{

InputStream is = newFileInputStream(file);

is.read(b);

filetype = getFileTypeByStream(b);

is.close();

}

catch(FileNotFoundException e)

{

e.printStackTrace();

}

catch(IOException e)

{

e.printStackTrace();

}

returnfiletype;

}

/**

* Created on 2010-7-1

Discription:[getFileTypeByStream]

* @param b

* @return fileType

* @author:[shixing_11@sina.com]

*/

publicfinalstaticString getFileTypeByStream(byte[] b)

{

String filetypeHex = String.valueOf(getFileHexString(b));

Iterator> entryiterator = FILE_TYPE_MAP.entrySet().iterator();

while(entryiterator.hasNext()) {

Entry entry =  entryiterator.next();

String fileTypeHexValue = entry.getValue();

if(filetypeHex.toUpperCase().startsWith(fileTypeHexValue)) {

returnentry.getKey();

}

}

returnnull;

}

/**

* Created on 2010-7-2

Discription:[isImage,判断文件是否为图片]

* @param file

* @return true 是 | false 否

* @author:[shixing_11@sina.com]

*/

publicstaticfinalbooleanisImage(File file){

booleanflag =false;

try

{

BufferedImage bufreader = ImageIO.read(file);

intwidth = bufreader.getWidth();

intheight = bufreader.getHeight();

if(width==0|| height==0){

flag = false;

}else{

flag = true;

}

}

catch(IOException e)

{

flag = false;

}catch(Exception e) {

flag = false;

}

returnflag;

}

/**

* Created on 2010-7-1

Discription:[getFileHexString]

* @param b

* @return fileTypeHex

* @author:[shixing_11@sina.com]

*/

publicfinalstaticString getFileHexString(byte[] b)

{

StringBuilder stringBuilder = newStringBuilder();

if(b ==null|| b.length <=0)

{

returnnull;

}

for(inti =0; i 

{

intv = b[i] &0xFF;

String hv = Integer.toHexString(v);

if(hv.length() <2)

{

stringBuilder.append(0);

}

stringBuilder.append(hv);

}

returnstringBuilder.toString();

}

}

这样,不管是传入的文件有后缀名,还是无后缀名,或者修改了后缀名,真正获取到的才是该文件的实际类型,这样避免了一些想通过修改后缀名或者Content-type信息来攻击的因素。但是性能与安全永远是无法同时完美的,安全的同时付出了读取文件的代价。本人建议可采用后缀名与读取文件的方式结合校验,毕竟攻击是少数,后缀名的校验能排除大多数用户,在后缀名获取不到时再通过获取文件真实类型校验,这样来适当提高性能。

原文出处:

[1] shixing_11, Java判断文件类型 ,http://blog.csdn.net/shixing_11/article/details/5708145

琳潋
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java 判断文件的类型,用java流方式判断文件类型
weixin_28725407的博客
03-20 3501
这个方法只能在有限的范围内有效。并不是万金油比如图片类型判断,音频文件格式判断,视频文件格式判断等这种肯定是2进制且专业性很强的文件类型判断。下面给出完整版代码首先是文件类型枚取package org.filetype;/*** 文件类型枚取*/public enum FileType {/*** JEPG.*/JPEG("FFD8FF"),/*** PNG.*/PNG("89504E47"),/...
java 异常类型判断_java怎么判断异常类型
weixin_39567870的博客
02-12 4160
展开全部1. java.lang.nullpointerexception这个异常e68a84e8a2ad62616964757a686964616f31333363376463大家肯定都经常遇到,异常的解释是"程序遇上了空指针",简单地说就是调用了未经初始化的对象或者是不存在的对象,这个错误经常出现在创建图片,调用数组这些操作中,比如图片未经初始化,或者图片创建时的路径错误等等。对数组操作中出现...
java 判断文件类型(根据文件头)
XTU_xyx的博客
09-21 4098
后缀判断的隐患: 对于判断前端(或网络)发送过来文件的类型,有些同学第一个想到的可能就是:根据其后缀名进行格式的判断。。。 正常情况下,是可以这样做。但实际上,任何文件的后缀都可以随意命名,因此仅通过后缀名判断其文件格式是不安全的。 如果有人将奇奇怪怪的文件后缀名改成你认为合法的后缀调用你的接口,那么你的服务器就变成了别人的网盘。 Solution: 我们可以根据文件头判断文件的格式。 什么是文件头(百度百科) 常见的图片的文件头(包括但不限于): 文件类型 文件头(这里是16进制) p
Java——IO流(一)-(2/9):File类的常用方法(判断文件类型、获取文件信息、创建删除文件、遍历文件夹)
li13437542099的博客
06-10 658
File类创建文件的功能 方法名称 说明 public boolean createNewFile() 创建一个新的空的文件 public boolean mkdir() 只能创建一级文件夹 public boolean mkdirs() 可以创建多级文件夹 File类删除文件的功能 方法名称 说明 public boolean delete() 删除文件、空文件夹 注意:delete方法默认只能删除文件和空文件夹,删除后的文件不会进入回收站。
java判断文件头_java通过文件头来判断文件类型
weixin_34184876的博客
02-16 1704
importjava.io.FileInputStream;importjava.io.IOException;importjava.util.HashMap;importjava.util.Map.Entry;/*** @Description 根据的文件头来判断文件类型*@authorLJ* @Version v1.0*/public classGetFileTypeByHead {publi...
java 判断文件类型是否是音频_用java流方式判断文件类型
weixin_39522486的博客
02-24 1334
这个方法只能在有限的范围内有效。并不是万金油比如图片类型判断,音频文件格式判断,视频文件格式判断等这种肯定是2进制且专业性很强的文件类型判断。下面给出完整版代码首先是文件类型枚取package org.filetype;/*** 文件类型枚取*/public enum FileType {/*** JEPG.*/JPEG("FFD8FF"),/*** PNG.*/PNG("89504E47"),/...
java判断文件类型
weixin_42584507的博客
01-17 4481
Java可以使用文件后缀名或文件头来判断文件类型。 使用文件后缀名判断: 首先使用File类获取文件名,例如:File file = new File("example.txt"); 然后使用getName()方法获取文件名,例如:String fileName = file.getName(); 接着使用substring()方法截取文件后缀名,例如:String fileType = fil...
JAVA 根据文件头判断文件类型
qq_57570052的博客
07-24 2004
例如,一张jpg格式的图片直接修改后缀名为png也可以打开,但当一些方法需要调用后缀为png格式图片的时候,再使用这个文件,则会出现报错。是因为这张图片的本质没有变,他还是个png格式的文件。使用java.io包中的FileInputStream类。通过读取原始字节流,根据字节流头部获取到文件格式。从而判断一个文件是否被修改过。那么,该如何去掉文件名的伪装,拿到文件的真实格式呢?这里给出一个讲数组转换成为十六进制字符串的方法。
java怎么判断文件大小_java判断文件大小
weixin_30301989的博客
02-27 4347
public class GetFileSize{public long getFileSizes(File f) throws Exception{//取得文件大小long s=0;if (f.exists()) {FileInputStream fis = null;fis = new FileInputStream(f);s= fis.available();} else {f.create...
java 判断url格式_Java获取URL链接的文件类型
weixin_28937075的博客
02-13 1650
在写网络爬虫的时候,需要根据链接来获取文件类型,将内容正确存储。之前我都是根据链接的后缀来判断的,比如:http://img12.360buyimg.com/da/20120330/88_31_ZySDre.jpg这个链接指向的文件就是个jpg文件。但是后来发现有诸如http://jprice.360buyimg.com/getSkuPriceImgService.action?skuId=185...
java如何实现判断文件的真实类型
08-29
Java判断文件真实类型是非常重要的,因为在文件传输过程中,为了安全验证,对于手工改动文件后缀名产生的伪造文件进行判断过滤。Java判断文件真实类型依靠的是文件的头部编码信息。 一、文件头信息 文件头是位于...
java实现上传文件类型检测过程解析
08-25
然后,使用 HashMap 缓存文件头信息,通过文件头信息来判断文件的真正类型。 以下是 Java 实现上传文件类型检测过程解析的示例代码: ```java import java.io.*; import java.util.HashMap; public class ...
java文件字符编码集判断依赖.zip
04-23
通用的文件字符编码集判断需要借助第三方包cpdetector.jar 使用Cpdetector jar包检测文件编码需要依赖antlr-2.7.7.jar、chardet-1.0.jar、jargs-1.0.jar三个jar包 本下载资源一站式全包含,并附带亲测有效的片段...
Java判断时间段内文件是否更新的方法
09-04
总结起来,Java判断文件是否在时间段内更新可以通过定时器定时检查或者利用类加载器监控文件修改来实现。选择哪种方法取决于具体的应用场景和需求。定时器适用于需要定期检查多个文件的场景,而自定义类加载器则...
Java实现的获取和判断文件头信息工具类用法示例
08-28
本文主要介绍了Java实现的获取和判断文件头信息工具类的用法示例,该工具类可以根据文件路径获取文件头信息,并根据头信息判断文件类型。下面是该工具类的详细分析和相关操作技巧。 首先,我们需要了解文件头信息的...
2024浙江省行政区划矢量图层-省市县乡镇四级行政区划数据下载-带python代码
最新发布
08-02
2024最新浙江省行政区划矢量图层数据,包含省、市、县、乡镇四级行政区划数据下载,附带shp转geojson的python代码
年度销售计划表.xlsx.xlsx
08-01
销售统计,调查问卷,库存明细,跟进表,业绩统计表,差异分析 ,产品清单 适用人群:学习不同技术领域的小白或进阶学习者;可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
蓝牙BLE 4.0开发课程
08-01
蓝牙BLE 4.0课程
每日销售情况统计表.xls
08-01
销售统计,调查问卷,库存明细,跟进表,业绩统计表,差异分析 ,产品清单 适用人群:学习不同技术领域的小白或进阶学习者;可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
java 判断文件类型
06-08
你可以使用 Java 的 Files 类和 ProbeContentType 方法来判断文件类型。具体代码如下: ```java import java.io.IOException; import java.nio.file.Files; import java.nio.file.Path; import java.nio.file.Paths; public class FileTypeChecker { public static void main(String[] args) throws IOException { Path file = Paths.get("path/to/your/file"); String fileType = Files.probeContentType(file); if (fileType != null) { System.out.println("File type: " + fileType); } else { System.out.println("Unable to determine file type."); } } } ``` 其中,`path/to/your/file` 是你要判断文件类型的文件路径。该代码会输出文件类型,如果无法判断文件类型则会输出 `Unable to determine file type.`。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值