SpringBoot上传文件类型检测

最新推荐文章于 2024-05-11 20:15:00 发布
最新推荐文章于 2024-05-11 20:15:00 发布
阅读量8.2k 收藏 37
点赞数 1
分类专栏: Spring Boot 文章标签: 文件上传 springboot 文件类型检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/x18707731829/article/details/109261718
版权

本章目标

实现SpringBoot上传文件类型检测的工具类

前言

当我们在项目中需要实现上传文件的时候, 为了安全起见以及限制文件上传的类型, 我们需要判断上传文件的类型是否符合我们的需求, 防止将病毒木马和非必要的文件上传到服务器上,占用服务器硬盘空间。

判断文件类型的三种方式

1. 通过文件后缀名判断文件类型
这个方法只要修改了后缀名就可以绕过我们的拦截,上传到服务器。

2. 通过Content-Type判断文件类型
由于Content-Type取决于文件类型, 文件类型取决于文件扩展名, 所以改变了文件扩展名就改变了Content-Type,依然可以绕过我们的拦截,上传到服务器。

3. 通过文件头判断文件类型
即使文件扩展名改变了文件头也不会改变。

注意:
1.有些重要的文件,没有固定的文件头
TXT 没固定文件头定义
TMP 没固定文件头定义
INI 没固定文件头定义
BIN 没固定文件头定义
DBF 没固定文件头定义
C 没没固定文件头定义
CPP 没固定文件头定义
H 没固定文件头定义
BAT 没固定文件头定义
2.不同的文件有相同的文件头
4D5A90 EXE
4D5A90 dll
4D5A90 OCX
4D5A90 OLB
4D5A90 IMM
4D5A90 IME

判断文件类型的思路:
先判断Content-Type, Content-Type符合条件了再判断文件头信息是否符合要求。

通过文件头判断文件类型代码实现

package com.xyz.easyexcel.util;

import java.io.IOException;
import java.io.InputStream;
import java.util.HashMap;
import java.util.Map;

/**
 * @Description : 判断文件上传的类型
 * @Author : xyz
 * @Date: 2020-10-24 14:42
 */
public class FileTypeUtils {

    // 默认判断文件头前三个字节内容
    public static int default_check_length = 3;
    final static HashMap<String, String> fileTypeMap = new HashMap<>();

    // 初始化文件头类型,不够的自行补充
    static {
        fileTypeMap.put("ffd8ffe000104a464946", "jpg");
        fileTypeMap.put("89504e470d0a1a0a0000", "png");
        fileTypeMap.put("47494638396126026f01", "gif");
        fileTypeMap.put("49492a00227105008037", "tif");
        fileTypeMap.put("424d228c010000000000", "bmp");
        fileTypeMap.put("424d8240090000000000", "bmp");
        fileTypeMap.put("424d8e1b030000000000", "bmp");
        fileTypeMap.put("41433130313500000000", "dwg");
        fileTypeMap.put("3c21444f435459504520", "html");
        fileTypeMap.put("3c21646f637479706520", "htm");
        fileTypeMap.put("48544d4c207b0d0a0942", "css");
        fileTypeMap.put("696b2e71623d696b2e71", "js");
        fileTypeMap.put("7b5c727466315c616e73", "rtf");
        fileTypeMap.put("38425053000100000000", "psd");
        fileTypeMap.put("46726f6d3a203d3f6762", "eml");
        fileTypeMap.put("d0cf11e0a1b11ae10000", "doc");
        fileTypeMap.put("5374616E64617264204A", "mdb");
        fileTypeMap.put("252150532D41646F6265", "ps");
        fileTypeMap.put("255044462d312e350d0a", "pdf");
        fileTypeMap.put("2e524d46000000120001", "rmvb");
        fileTypeMap.put("464c5601050000000900", "flv");
        fileTypeMap.put("00000020667479706d70", "mp4");
        fileTypeMap.put("49443303000000002176", "mp3");
        fileTypeMap.put("000001ba210001000180", "mpg");
        fileTypeMap.put("3026b2758e66cf11a6d9", "wmv");
        fileTypeMap.put("52494646e27807005741", "wav");
        fileTypeMap.put("52494646d07d60074156", "avi");
        fileTypeMap.put("4d546864000000060001", "mid");
        fileTypeMap.put("504b0304140000000800", "zip");
        fileTypeMap.put("526172211a0700cf9073", "rar");
        fileTypeMap.put("235468697320636f6e66", "ini");
        fileTypeMap.put("504b03040a0000000000", "jar");
        fileTypeMap.put("4d5a9000030000000400", "exe");
        fileTypeMap.put("3c25402070616765206c", "jsp");
        fileTypeMap.put("4d616e69666573742d56", "mf");
        fileTypeMap.put("3c3f786d6c2076657273", "xml");
        fileTypeMap.put("494e5345525420494e54", "sql");
        fileTypeMap.put("7061636b616765207765", "java");
        fileTypeMap.put("406563686f206f66660d", "bat");
        fileTypeMap.put("1f8b0800000000000000", "gz");
        fileTypeMap.put("6c6f67346a2e726f6f74", "properties");
        fileTypeMap.put("cafebabe0000002e0041", "class");
        fileTypeMap.put("49545346030000006000", "chm");
        fileTypeMap.put("04000000010000001300", "mxp");
        fileTypeMap.put("504b0304140006000800", "docx");
        fileTypeMap.put("6431303a637265617465", "torrent");
        fileTypeMap.put("6D6F6F76", "mov");
        fileTypeMap.put("FF575043", "wpd");
        fileTypeMap.put("CFAD12FEC5FD746F", "dbx");
        fileTypeMap.put("2142444E", "pst");
        fileTypeMap.put("AC9EBD8F", "qdf");
        fileTypeMap.put("E3828596", "pwl");
        fileTypeMap.put("2E7261FD", "ram");
    }
    
    /**
     * @param fileName
     * @return String
     * @description 通过文件后缀名获取文件类型
     * @author xyz
     */
    public static String getFileTypeBySuffix(String fileName) {
        return fileName.substring(fileName.lastIndexOf(".") + 1, fileName.length());
    }

    /**
     * @param inputStream
     * @return String
     * @description 通过文件头魔数获取文件类型
     * @author xyz
     */
    public static String getFileTypeByMagicNumber(InputStream inputStream) {
        byte[] bytes = new byte[default_check_length];
        try {
            // 获取文件头前三位魔数的二进制
            inputStream.read(bytes, 0, bytes.length);
            // 文件头前三位魔数二进制转为16进制
            String code = bytesToHexString(bytes);
            for (Map.Entry<String, String> item : fileTypeMap.entrySet()) {
                if (code.equals(item.getKey())) {
                    return item.getValue();
                }
            }
        } catch (IOException e) {
            e.printStackTrace();
        }
        return "";
    }

    /**
     * @param bytes
     * @return String
     * @description 字节数组转为16进制
     * @author xyz
     */
    public static String bytesToHexString(byte[] bytes) {
        StringBuilder stringBuilder = new StringBuilder();
        for (int i = 0; i < bytes.length; i++) {
            int v = bytes[i] & 0xFF;
            String hv = Integer.toHexString(v);
            if (hv.length() < 2) {
                stringBuilder.append(0);
            }
            stringBuilder.append(hv);
        }
        return stringBuilder.toString();
    }
}
xyz@Easion
关注
  • 1
    点赞
  • 37
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解SpringBoot文件上传与下载的实现
08-26
本文将详细介绍 SpringBoot文件上传与下载的实现,包括单文件上传、多文件上传文件下载的实现过程。 单文件上传SpringBoot 实现单文件上传可以通过使用 `MultipartFile` 对象来接收上传文件,然后将...
springboot以FTP方式上传文件到远程服务器
08-25
"Spring Boot 使用 FTP 方式上传文件到远程服务器" 在本文,我们将详细介绍如何使用 Spring Boot 框架来实现 FTP 方式上传文件到远程服务器。FTP(File Transfer Protocol)是一种常用的文件传输协议,广泛应用于...
SpringBoot后端上传文件类型检测
牟云飞的博客
05-15 1万+
文件上传大部分通过web前端判断后尾名或者service后端判断后尾名,这种操作具有一定的风险,比如:我可以将一个jsp页面,修改后尾名改成jpg文件进行上传,由于图片预览功能,这个文件会被执行,这时就可以发送用户数据到指定的服务下,窃取用户信息。本篇博文通过文件流头部判断文件类型,不同的文件具有不同的头部,比如: JPEG文件: FFD8FF PNG文件: ......
SpringBoot 判断上传文件类型 MultipartFile file
paohui001lqp的博客
01-28 1万+
最新项目有遇到 对于上传文件类型的判断 我们需要上传文件是 excel类型的 原来我的做法很简单 就是 获取文件名然后去判断 后缀名是否是 .xls 或者是 .xlsx 类型 //判断文件类型是否正确 String originalFilename = file.getOriginalFilename(); String fileType = originalFilename.substring(originalFilename.last...
spring限制上传文件类型(含代码)
最新发布
weixin_44670774的博客
05-11 293
为了安全,有时我们需要限制前端上传文件类型,这个功能可以结合Spring的拦截器和Hutool的文件类型判断来完成。
jsp实现文件上传及javascript对上传文件的简单验证
g161g的专栏
11-04 675
[size=large] 前两天做OJ的时候,我做的两个功能都涉及到了文件上传这个功能,所以我觉得很有必要把这个模块的代码记录下来,框架使用的struts2 首先,jsp页面的的form表单是这样的 [/size] [code="java"] 上传 (仅支持.zip格式的压缩文件) input type="s...
山东大学软件学院项目实训-创新实训-山大软院网络攻防靶场实验平台(十二)-任意文件上传漏洞(2)
m0_47470899的博客
04-19 1067
目录前言:2、项目配置3、编写“文件上传漏洞”后端代码4、编写“文件上传漏洞”前端代码5、运行测试 前言: 上一篇博客介绍了关于文件上传漏洞的基础知识,以及基本的漏洞出现点、利用方式、以及如何防护等,并在此基础上思考如何构造一个文件上传漏洞靶场。本篇博客主要记录一下文件上传漏洞靶场的基本实现,以及部分关键代码。 2、项目配置 新建一个 springboot 项目 编写 application.properties: 设置文件上传的相关限制,以及 controller 层的 return 匹配目录 # 设
记一次springboot项目漏洞挖掘
YJ_12340的博客
05-08 1360
本文测试是在该cms旧版本上进行的,新版本对已有问题已进行了修复,这次对该java实现的cms漏洞挖掘收获满满,对cms安装、部署以及代码审计要注意的点得到了良好的锻炼。
springboot--判断form表单是否是图片上传
HadwinLing
08-19 832
@PostMapping("/admin/updateTag") public String updateTag(Tag tag,@RequestParam(name = "photo") MultipartFile photo) throws IOException { //获取文件全名 String photoName = photo.getOriginalFilename(); //首先判断是不是空的文件 if (!photo.i
SpringBoot后台实现文件上传下载
08-27
SpringBoot后台实现文件上传下载 在本文,我们将详细介绍如何使用 Spring Boot 实现文件上传下载,包括单文件上传、多文件上传文件下载的实现方法。 单文件上传 在单文件上传,我们使用了 Spring MVC 的 `@...
奇安信代码卫士,文件上传漏洞解决demo
04-23
(1)使用白名单控制上传文件类型,即只允许指定扩展名的文件上传。 (2)对上传文件后缀与MIME Type进行匹配校验, 对文件头信息与文件后缀进行匹配校验。 (3)对单个文件大小和总文件数进行限制, 避免拒绝服务...
spring boot 文件上传实例
11-01
上传文件是互联网常常应用的场景之一,最典型的情况就是上传头像等,今天就带着带着大家做一个Spring Boot上传文件的小案例。
SpringBoot限制文件或图片上传大小的两种配置方法
08-27
主要介绍了SpringBoot限制文件或图片上传大小的两种配置方法,一种是配置在启动类,一种是配置在application.yml或者application.properties,需要的朋友可以参考下
基于Springboot的城市内涝智慧检测系统源码+数据库+项目说明.zip
01-06
基于Springboot的城市内涝智慧检测系统源码+数据库+项目说明.zip 【项目结构】 【java】 1.bean 存储项目实体类 2.configurar 进行错误统一处理,如404,500 3.controller 业务层,进行前后端交互 4.dao 持久层,...
springboot的安全验证一
shangtongc的博客
10-22 578
1.创建拦截器类 public class LoginInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { System.out.println("interceptor preHandle");
数据的编码(1)之十六 进制编码
AndyWei147的博客
06-25 2950
最近对数据编码进行了简单的学习,也该写写笔记了。首先说说数据吧,以程序员的角度来说,数据其实就是若干个字节。比如说,IP地址对程序员来说是这么表示的unsigned char[ip] = {192, 168, 1, 100},也写以写成 C0 A8 01 64 , IP地址就是数据,它是由4个字节组成,他是数据一种表示方式。当我们通过短信发送数据时,可以选择很多种方式,可以选择如下: (1)发送...
文件头格式对应
u012588160的博客
03-10 1636
{“扩展名”:123,“文件头标识(HEX)”:“00001A00051004”,“文件描述”:“Lotus1-2-3spreadsheet(v9)file”}, {“扩展名”:“3gg;3gp;3g2”,“文件头标识(HEX)”:“000000nn66747970336770”,“文件描述”:“3rdGenerationPartnershipProject3GPP(nn=0x14)and3GPP2(nn=0x20)multimediafiles”}, {“扩展名”:“7z”,“文件头标识(HEX)”:“3
如何用SpringBoot框架来接收multipart/form-data文件
热门推荐
林老师带你学编程
08-09 10万+
今天遇到一个坑,这里给大家介绍一下。 想学习分布式、微服务、JVM、多线程、架构、java、python的童鞋,千万不要扫码,否则后果自负~ 现在很多文件上传类型都是multipart/form-data类型的,HTTP请求如下所示: 可是问题就在于如果用传统的Struts2或者servlet等都可以很容易的实现文件接收的功能,例如下面的代码就可以实现: boolea...
SpringBoot导入文件格式校验
qq_40617729的博客
05-14 1521
1.SpringBoot 导入EXCEL时格式校验 1.做EXCEL导入的时候,对于文件格式校验 //前端将文件上传到服务器,前端返回给我的文件地址 String filePath = jsonObject.getString("filePath"); //将得到的文件地址字符串截取最后4位并且将格式转换成小写 String filePaths = filePath.substring(filePath.length()-4).toLowerCase(); if (!file
请给我springboot上传文件接口的具体上传文件逻辑
03-04
对于springboot上传文件接口的具体上传文件逻辑,一般的实现方式是通过MultipartFile类来获取上传文件,然后使用File类将文件保存到指定的路径。具体的代码实现可以参考以下示例: @PostMapping("/upload") ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值