java文件类型校验_JAVA对文件类型的校验

最新推荐文章于 2024-08-21 02:06:34 发布
最新推荐文章于 2024-08-21 02:06:34 发布
阅读量958 收藏
点赞数 1
文章标签: java文件类型校验
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39783156/article/details/114570379
版权

通常,在WEB系统中,上传文件时都需要做文件的类型校验,大致有如下几种方法:

1. 通过后缀名,如exe,jpg,bmp,rar,zip等等。

2. 通过读取文件,获取文件的Content-type来判断。

3. 通过读取文件流,根据文件流中特定的一些字节标识来区分不同类型的文件。

4. 若是图片,则通过缩放来判断,可以缩放的为图片,不可以的则不是。

然而,在安全性较高的业务场景中,1,2两种方法的校验会被轻易绕过。

1. 伪造后缀名,如图片的,非常容易修改。

2. 伪造文件的Content-type,这个稍微复杂点,

3.较安全,但是要读取文件,并有16进制转换等操作,性能稍差,但能满足一定条件下对安全的要求,所以建议使用。

但是文件头的信息也可以伪造,截图如下,对于图片可以采用图片缩放或者获取图片宽高的方法避免伪造头信息漏洞。

package com.nfschina.utils.file;

import java.io.File;

import java.io.FileInputStream;

import java.util.HashMap;

import java.util.Iterator;

import java.util.Map;

import java.util.Map.Entry;

import com.nfschina.utils.BaseException;

/***********************************************************************

*

* Description: 主要用于判断文件的类型

*

***********************************************************************/

public class FileTools {

public final static Map FILE_TYPE_MAP = new HashMap();

/*-----------------------------目前可以识别的类型----------------------------*/

private static void getAllFileType()

{

FILE_TYPE_MAP.put("jpg", "FFD8FF"); //JPEG

FILE_TYPE_MAP.put("png", "89504E47"); //PNG

FILE_TYPE_MAP.put("gif", "47494638"); //GIF

FILE_TYPE_MAP.put("tif", "49492A00"); //TIFF

FILE_TYPE_MAP.put("bmp", "424D"); //Windows Bitmap

FILE_TYPE_MAP.put("dwg", "41433130"); //CAD

FILE_TYPE_MAP.put("html", "68746D6C3E"); //HTML

FILE_TYPE_MAP.put("rtf", "7B5C727466"); //Rich Text Format

FILE_TYPE_MAP.put("xml", "3C3F786D6C");

FILE_TYPE_MAP.put("zip", "504B0304");

FILE_TYPE_MAP.put("rar", "52617221");

FILE_TYPE_MAP.put("psd", "38425053"); //PhotoShop

FILE_TYPE_MAP.put("eml", "44656C69766572792D646174653A"); //Email [thorough only]

FILE_TYPE_MAP.put("dbx", "CFAD12FEC5FD746F"); //Outlook Express

FILE_TYPE_MAP.put("pst", "2142444E"); //Outlook

FILE_TYPE_MAP.put("office", "D0CF11E0"); //office类型,包括doc、xls和ppt

FILE_TYPE_MAP.put("mdb", "000100005374616E64617264204A"); //MS Access

FILE_TYPE_MAP.put("wpd", "FF575043"); //WordPerfect

FILE_TYPE_MAP.put("eps", "252150532D41646F6265");

FILE_TYPE_MAP.put("ps", "252150532D41646F6265");

FILE_TYPE_MAP.put("pdf", "255044462D312E"); //Adobe Acrobat

FILE_TYPE_MAP.put("qdf", "AC9EBD8F"); //Quicken

FILE_TYPE_MAP.put("pwl", "E3828596"); //Windows Password

FILE_TYPE_MAP.put("wav", "57415645"); //Wave

FILE_TYPE_MAP.put("avi", "41564920");

FILE_TYPE_MAP.put("ram", "2E7261FD"); //Real Audio

FILE_TYPE_MAP.put("rm", "2E524D46"); //Real Media

FILE_TYPE_MAP.put("mpg", "000001BA"); //

FILE_TYPE_MAP.put("mov", "6D6F6F76"); //Quicktime

FILE_TYPE_MAP.put("asf", "3026B2758E66CF11"); //Windows Media

FILE_TYPE_MAP.put("mid", "4D546864"); //MIDI (mid)

}

/**

* 通过读取文件头部获得文件类型

* @param file

* @return 文件类型

* @throws BaseException

*/

public static String getFileType(File file) throws BaseException{

getAllFileType();

String fileExtendName = null;

FileInputStream is;

try {

is = new FileInputStream(file);

byte[] b = new byte[16];

is.read(b,0, b.length);

String filetypeHex = String.valueOf(bytesToHexString(b));

Iterator> entryiterator = FILE_TYPE_MAP.entrySet().iterator();

while (entryiterator.hasNext()) {

Entry entry = entryiterator.next();

String fileTypeHexValue = entry.getValue();

if (filetypeHex.toUpperCase().startsWith(fileTypeHexValue)) {

fileExtendName = entry.getKey();

if(fileExtendName.equals("office")) {

fileExtendName = getOfficeFileType(is);

}

is.close();

break;

}

}

// 如果不是上述类型,则判断扩展名

if(fileExtendName == null)

{

String fileName = file.getName();

// 如果无扩展名,则直接返回空串

if(-1 == fileName.indexOf("."))

{

return "";

}

// 如果有扩展名,则返回扩展名

return fileName.substring(fileName.indexOf(".") + 1);

}

is.close();

return fileExtendName;

} catch (Exception exception) {

throw new BaseException(exception.getMessage(), exception);

}

}

/**

* 判断office文件的具体类型

* @param fileInputStream

* @return office文件具体类型

* @throws BaseException

*/

private static String getOfficeFileType(FileInputStream fileInputStream) throws BaseException{

String officeFileType = "doc";

byte[] b = new byte[512];

try {

fileInputStream.read(b, 0, b.length);

String filetypeHex = String.valueOf(bytesToHexString(b));

String flagString = filetypeHex.substring(992, filetypeHex.length());

if(flagString.toLowerCase().startsWith("eca5c")){

officeFileType = "doc";

} else if(flagString.toLowerCase().startsWith("fdffffff09")){

officeFileType = "xls";

} else if(flagString.toLowerCase().startsWith("09081000000")){

officeFileType = "xls";

} else {

officeFileType = "ppt";

}

return officeFileType;

} catch (Exception exception) {

throw new BaseException(exception.getMessage(), exception);

}

}

/**

* 获得文件头部字符串

* @param src

* @return

*/

private static String bytesToHexString(byte[] src){

StringBuilder stringBuilder = new StringBuilder();

if (src == null || src.length <= 0) {

return null;

}

for (int i = 0; i < src.length; i++) {

int v = src[i] & 0xFF;

String hv = Integer.toHexString(v);

if (hv.length() < 2) {

stringBuilder.append(0);

}

stringBuilder.append(hv);

}

return stringBuilder.toString();

}

public static void main(String[] args)

{

File file = new File("E:/新闻公告.pdm");

FileInputStream is;

try{

is = new FileInputStream(file);

byte[] b = new byte[16];

is.read(b,0, b.length);

// String filetypeHex = String.valueOf(bytesToHexString(b));

String fileName = file.getName();

System.out.println(fileName.substring(fileName.indexOf(".") + 1));

}catch(Exception e)

{

e.printStackTrace();

}

}

weixin_39783156
关注
JAVA文件类型校验
boaifeng的专栏
10-26 8957
<br />通常,在WEB系统中,上传文件时都需要做文件类型校验,大致有如下几种方法:<br />1. 通过后缀名,如exe,jpg,bmp,rar,zip等等。<br />2. 通过读取文件,获取文件的Content-type来判断。<br />3. 通过读取文件流,根据文件流中特定的一些字节标识来区分不同类型文件。<br />4. 若是图片,则通过缩放来判断,可以缩放的为图片,不可以的则不是。<br />然而,在安全性较高的业务场景中,1,2两种方法的校验会被轻易绕过。<br />1. 伪造后缀名
java 检测文件类型
qq_40530899的博客
06-26 335
package com.thinkgem.jeesite.modules.utils; import java.io.File; import java.io.FileInputStream; import java.io.InputStream; import java.net.URL; public class EncodingDetect { private static final int...
JAVA校验文件类型
Great_est的博客
02-06 2097
通常校验文件类型,是获取文件后缀,根据后缀名进行判断。但其实这种方式是有被欺骗风险的。这里记录几种判断文件类型的方式。
java怎么判断一个文件后缀
最新发布
weixin_28829629的博客
08-21 45
我整理的一些关于【Java】的项目学习资料(附讲解~~)和大家一起分享、学习一下:https://d.51cto.com/bLN8S1Java文件后缀判断项目方案 1. 项目背景 在日常开发中,处理文件时经常需要依据文件后缀来决定文件类型。例如,我们需要将不同类型文件进行上传、下载、或进行特定的处理。本文旨在设计一个...
cfupload java_java判断文件真实类型
weixin_30533301的博客
02-13 180
代码如下: importjava.io.FileInputStream;importjava.io.IOException;importjava.util.HashMap;/*** * 类描述:获取和判断文件头信息* |--文件头是位于文件开头的一段承担一定任务的数据,一般都在开头的部分。* |--头文件作为一种包含功能函数、数据接口声明的载体文件,用于保存程序的声明(declaration),...
java验证文件真实格式和编码格式工具类
11-23
java验证文件真实格式和编码格式工具类,验证文件文件格式和文件的编码格式给出正确的文件类型以及编码格式,从此解决文件解析乱码问题的烦恼
java文件类型校验_JAVA文件类型校验 .
weixin_29496207的博客
02-24 1812
通常,在WEB系统中,上传文件时都需要做文件类型校验,大致有如下几种方法:1. 通过后缀名,如exe,jpg,bmp,rar,zip等等。2. 通过读取文件,获取文件的Content-type来判断。3. 通过读取文件流,根据文件流中特定的一些字节标识来区分不同类型文件。4. 若是图片,则通过缩放来判断,可以缩放的为图片,不可以的则不是。然而,在安全性较高的业务场景中,1,2两种方法的校验会被...
java文件类型校验_java上传文件(包括类型、大小验证)
weixin_36481965的博客
02-24 2046
导包commons-fileuploadcommons-fileupload1.3.1ssm 需要配置 springmvc.xml 配置文件中配置文件上传解析器:创建文件给工具类 FileUtil.javapackage com.shiro.utils;import org.springframework.web.multipart.MultipartFile;import java.io.Fil...
java实现上传文件类型检测过程解析
08-25
Java 实现上传文件类型检测过程解析是指在进行文件上传时,对上传文件的格式进行控制,以防止黑客将病毒脚本上传。单纯的将文件名的类型进行截取的方式非常容易遭到破解,上传者只需要将病毒改换文件名便可以完成...
Java防止文件被篡改之文件校验功能的实例代码
08-26
通过Java防止文件被篡改之文件校验功能,我们可以保证系统的安全性和版权,这对系统的发展和维护非常重要。 在本文中,我们详细介绍了Java防止文件被篡改之文件校验功能的实例代码,包括文件校验和的原理、实现思路...
java excel文件校验_java读取远程Excel文件内容,并做校验
weixin_39868959的博客
02-16 940
1.背景测试文件地址:https://ifiletest.XXX.com/mis/temp/settlement/csv/settlement_cost/rentingexpenseitem1554975619468.xlsx目的:读取Excel文件内容,对单元格的值做校验针对不同的Excel版本,要采用不同的工具类HSSFWorkbook:是操作Excel2003以前(包括2003)的版本,扩展...
java通过文件头内容判断文件类型
04-22
java通过文件头内容判断文件类型
java socket 传输文件时做和校验校验
03-10
java socket在传输文件时,分包、组包和校验校验包数据,现成的代码可以拷贝直接运行。
Java实现MD5大文件校验码详解
12-01
Java实现MD5大文件校验码详细解析: 包括具体方法解释、注释 通俗易懂、易于理解
java-文件类型-文件类型判断
htkeepmoving
07-17 4290
摘要:文件类型的判断:最直接的方法通过文件后缀名字可以知道文件是sm
Java文件类型校验之Apache Tika
梁童鞋的博客
01-11 5197
Apachhe Tika是基于java的内容检测和分析的工具包,可检测并提取来自上千种不同文件类型(如PPT,XLS和PDF)中的元数据和结构化文本。
Java判断文件类型
宏轩JAVA技术专栏
12-15 1628
通常,在WEB系统中,上传文件时都需要做文件类型校验,大致有如下几种方法:1. 通过后缀名,如exe,jpg,bmp,rar,zip等等。2. 通过读取文件,获取文件的Content-type来判断。3. 通过读取文件流,根据文件流中特定的一些字节标识来区分不同类型文件。4. 若是图片,则通过缩放来判断,可以缩放的为图片,不可以的则不是。然而,在安全性较高的业务场景中,1,2两种方法的校验会被轻易绕过。1. 伪造后缀名,如图片的,非常容易修改。2. 伪造文件的Content-type,这个稍微复杂点,为
Java使用方法判定文件格式是否正确
木卫
09-09 1983
** 代码如下: ** public class HelloWorld { public static void main(String[] args) { // Java文件名 String fileName = "HelloWorld.java"; // 邮箱 String email = "laurenyang@imooc.com"; // 判断.java文件名是否正确:合法的文件名应该以.java结尾 /*
java代码判断文件类型(判断文件后缀名
weixin_34341117的博客
12-05 1582
1.两点需要注意 1.string.spilt("\\.")分割字符串成子字符串数组,以“.”分割,必须写成string.spilt("\\.")的方式,不能写成string.spilt(".")。斜线必须是反斜线且。 2.获取分割后的字符串数组,要获得最后一个item的index ,方式是int suffixIndex = strArray.length -1; public Stri...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值