关于上传图片(抑或其他文件的服务端判断)

最新推荐文章于 2024-07-23 21:37:49 发布
最新推荐文章于 2024-07-23 21:37:49 发布
阅读量552 收藏
点赞数
分类专栏: JAVA 文章标签: java

图片上传安全性问题,根据ContentType (MIME) 判断其实不准确、不安全


图片上传常用的类型判断方法有这么几种---截取扩展名、获取文件ContentType (MIME) 、读取byte来判断(这个什么叫法来着?)。前两种都有安全问题。容易被上传不安全的文件,如木马什么的。第1种截取文件扩展名来判断的方法很明显不安全,第2种ContentType MIME可以伪造,所以用ContentType来判断其实也不安全。建议采用第3种。


以下以C#为演示:


1.截取扩展名来做判断,不可取。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
if  (Request.Files.Count > 0)
{
     //这里只测试上传第一张图片file[0]
     HttpPostedFile file0 = Request.Files[0];
     string  ext = file0.FileName.Substring(file0.FileName.LastIndexOf( '.' ) + 1); //文件扩展名
     string [] fileTypeStr = {  "jpg" "gif" "bmp" "png"  };
     if  (fileTypeStr.Contains(ext))
     {
         file0.SaveAs(Server.MapPath( "~/"  + file0.FileName)); //保存文件
     }
     else
     {
         Response.Write( "图片格式不正确"  + ext);
     }
}


2.判断ContentType (MIME) ,比第1种方案安全。但其实ContentType是可伪造的,所以也不够安全。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
if  (Request.Files.Count > 0)
{
//这里只测试上传第一张图片file[0]
     HttpPostedFile file0 = Request.Files[0];
     string  contentType = file0.ContentType; //文件类型
string [] fileTypeStr = {  "image/gif" , "image/x-png" , "image/pjpeg" , "image/jpeg" , "image/bmp" };
     if  (fileTypeStr.Contains(contentType))
     {
         file0.SaveAs(Server.MapPath( "~/"  + file0.FileName));
     }
     else
     {
         Response.Write( "图片格式不正确"  + contentType);
     }
}


3.通过byte获取文件类型,来做判断。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
if  (Request.Files.Count > 0)
{
//这里只测试上传第一张图片file[0]
     HttpPostedFile file0 = Request.Files[0];
      
     //转换成byte,读取图片MIME类型
     Stream stream;
     //int contentLength = file0.ContentLength; //文件长度
     byte [] fileByte =  new  byte [2]; //contentLength,这里我们只读取文件长度的前两位用于判断就好了,这样速度比较快,剩下的也用不到。
     stream = file0.InputStream;
     stream.Read(fileByte, 0, 2); //contentLength,还是取前两位
     stream.Close();
      
     string  fileFlag =  "" ;
     if  (fileByte !=  null  && fileByte.Length > 0) //图片数据是否为空
     {
         fileFlag = fileByte[0].ToString() + fileByte[1].ToString();                  
     }
     string [] fileTypeStr = {  "255216" "7173" "6677" "13780"  }; //对应的图片格式jpg,gif,bmp,png
     if  (fileTypeStr.Contains(fileFlag))
     {
         file0.SaveAs(Server.MapPath( "~/"  + file0.FileName));
     }
     else
     {
         Response.Write( "图片格式不正确:"  + fileFlag);
     }
}
MrLittleCold
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ElementUi的上传附件,如果文件已存在就不需要上传否则就上传
m0_65376942的博客
04-18 3091
需求:1.文件进行上传,首先对文件进行MD5加密 2.把MD5加密的字符串传给后端,根据后端的返回值判断需不需要走上传接口 思路1:把action的属性,把其设置为空,直接在before-upload钩子函数中拿到文件,对文件进行加密,然后请求后端接口判断是否需要上传,但是这样就有一个问题就是会一个空接口该接口会报404,且也会影响进度条,导致进度条不准确;所以改思路不符合项目需求 思路2:换成手动上传,思路1用到的是自动上传,手动上传用属性on-change拿到文件,对文件进...
关于抑或运算
01-07
python异或运算用^表示: 大致原理是:讲数字转为二进制然后,每个位上进行运算 0^0=0,1^0=1,0^1=1,1^1=0 ... 抑或结果:12: 1100—>得到二进制数,十进制为12 然后有个很好玩的规律,ctf题中遇到了 假设有两个数x,y
php中post上传图片文件时,服务端如何判断文件已经上传,并把上传文件放到指定位置
CS13477062349的博客
02-18 1179
1.图片或文件上传时,要设置form表单的编码格式 enctype   是设置表单的MIME编码 默认为application/x-www-form-urlencoded  不能用于文件上传 图片文件上传时,要设置为 multipart/from-data 2.服务端获取上传的文件或图片,并放到指定位置 <input type='file' name='avatar'> PHP中...
服务器端验证文件格式
For_living
11-09 876
<br />package com.li.web.util;<br />import java.io.File;<br />import java.io.IOException;<br />import java.util.ArrayList;<br />import java.util.List;<br />import java.util.Properties;<br />public class InvalidFileType {<br /> private static Properties pro
神经网络解决抑或(XOR)问题(python代码)
12-15
在本文中,我们将深入探讨如何使用Python编程语言和神经网络模型来解决经典的逻辑运算问题——抑或(XOR)问题。XOR问题之所以经典,是因为它不能被简单的线性模型解决,而需要非线性的处理能力,这正是神经网络的...
文件切割利器Knife
08-28
 电影文件、MS Virtual Machine(.VHD),抑或任何其他格式的文件,均可精准切割/复原。  3. 纯绿色软件,无需安装。  这意味着,你只需将应用程序包解压后得到的整个文件夹,Copy到你的电脑,点击Knife.exe即可...
MSSQL 监控数据/日志文件增长实现方法
12-15
会不会是因为突然暴增的日志文件,抑或是系统业务猛增导致数据量暴增,还是历史数据累计原因….分析总得有数据来支撑吧,但是现在只有那些数据文件的当前大小信息,没有数据文件的历史增长变化信息,所以,今天就想...
客户端和服务端验证上传图片限制
滴水穿石,厚积薄发
12-24 709
<br />客户端:<br />var logofile = form.logofile.value;<br /> if(trim(form.name.value)!=""){<br />         var ext = logofile.substring(logofile.length-3).toLowerCase();<br />         if(ext != "jpg"&&ext != "gif"&& ext != "bmp" &&ext != "png"){<br />         
MIME类型-服务端验证上传文件的类型
热门推荐
Lonely
01-10 1万+
<br />      MIME的作用 : 使客户端软件,区分不同种类的数据,例如web浏览器就是通过MIME类型来判断文件是GIF图片,还是可打印的PostScript文件。<br />      web服务器使用MIME来说明发送数据的种类, web客户端使用MIME来说明希望接收到的数据种类。<br />      Tomcat的安装目录/conf/web.xml 中就定义了大量MIME类型 ,你可也去看一下。<br /> <br />      最近在做用表单上传文件,想在服务端验证上传文件的类型,
12. Hibernate 模板设计模式
这是一个web全栈开发的博客,取其精华去其糟粕,争取让大家一看就懂,一学就会,一用就成~
07-22 955
如何运用模板设计模式重构 Hibernate 操作流程;持久化对象与序列化接口;OOP中有一个编码原则 :写仅写一次。翻译过来就是,不要重复,要重用。答案是:使用模板设计模式进一步封装Hibernate的操作。在真实项目中,Hibernate仅仅只是完成项目中的一部分工作,需要和其它,如Spring等框架联合工作,一起承担整体项目的开发。Spring框架中就提供的有Hibernate模板对象。一个常规的、频繁的操作代码中,大部分代码不需要变动,只有小部分代码需要根据需求变动。
Promise 详解(原理篇)
山重水复疑无路,柳暗花明又一村。
07-20 715
Promise 是一种异步编程的解决方案。在异步操作中,callback 会导致回调地狱的问题,Promise 解决了这个问题。一个 Promise对象有以下三种状态:pending:初始状态,既不是成功,也不是失败状态。:意味着操作成功完成。rejected:意味着操作失败。当 new Promise() 被实例化后,即表示 Promise 进入 pending 初始化状态,准备就绪,等待运行。
Java内存模型
weixin_44267758的博客
07-19 742
此处的变量不是指java编程中的变量,它包括了实例字段,静态字段和构成数值对象的元素,但不包括局部变量和方法参数。JMM规定所有变量都存储在主内存中。每条线程有自己的工作内存,工作内存中保留了该线程使用到变量的主内存的副本。线程对变量的所有操作都必须在工作内存中进行,不能直接读写主内存的变量,不同的线程间也无法直接访问对方工作内存的变量,线程之间的变量值传递需要通过主内存来完成。
JVM-垃圾回收与内存分配
m0_50846237的博客
07-19 1297
JVM-垃圾回收与内存分配
接口防刷!利用redisson快速实现自定义限流注解
架构师小吴的博客
07-18 1264
如登录接口,当用户使用手机号+验证码登录时,一般我们会生成6位数的随机验证码,并将验证码有效期设置为1-3分钟,如果对登录接口不加以限制,理论上,通过技术手段,快速重试100000次,即可将验证码穷举出来。解决思路:对登录接口加上限流操作,如限制一分钟内最多登录5次,登录次数过多,就返回失败提示,或者将账号锁定一段时间。在日常开发中,一些重要的对外接口,需要加上访问频率限制,以免造成资��损失。ok,通过以上两步,即可完成我们的限流注解了,下面通过一个接口验证下效果。
java算法day19
TOMOT77的博客
07-20 276
我第一时间想到的方法是遍历二叉树+哈希。哈希用来统计数字出现的次数。之后遍历map收集结果。利用了BST的性质,即BST的中序序列是有序序列。
springboot之自动装配
最新发布
weixin_50153914的博客
07-23 195
Spring Boot 通过一系列注解和条件配置实现了自动装配机制,使得开发者无需手动配置大量的 XML 文件Java 配置类。自动配置机制利用文件中的自动配置类,并结合条件注解和组件扫描,实现了灵活且强大的自动装配功能。这样,开发者可以专注于业务逻辑的实现,而无需处理繁琐的配置细节。
请帮我写一段抑或加密解密的程序
05-25
以下是一个简单的抑或加密解密程序: ```python def xor_encrypt_decrypt(data, key): # 将字符串转换为二进制 data = data.encode() key = key.encode() # 逐个字符进行抑或运算 result = bytearray() for ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值