SpringBoot如何验证用户上传的图片资源

最新推荐文章于 2024-06-05 11:25:24 发布
最新推荐文章于 2024-06-05 11:25:24 发布
阅读量266 收藏
点赞数
文章标签: java
原文链接:https://www.linuxprobe.com/springboot-java-imageio.html
版权
这篇文章主要介绍了在SpringBoot中验证用户上传的图片资源,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下

SpringBoot如何验证用户上传的图片资源SpringBoot如何验证用户上传的图片资源

允许用户上传图片资源(头像,发帖)是APP常见的需求,特别需要把用户的资源IO到磁盘情况下,需要防止坏人提交一些非法的文件,例如木马,webshell,可执行程序等等。这类非法文件不仅会导致客户端图片资源显示失败,而且还会给服务器带来安全问题。

通过文件后缀判断文件的合法性

这种方式比较常见,也很简单,是目前大多数APP选择的做法。

public Object upload (@RequestParam("file") MultipartFile multipartFile) throws IllegalStateException, IOException {
     
    // 原始文件名称
    String fileName = multipartFile.getOriginalFilename();
     
    // 解析到文件后缀,判断是否合法
    int index = fileName.lastIndexOf(".");
    String suffix = null;
    if (index == -1 || (suffix = fileName.substring(index + 1)).isEmpty()) {
        return "文件后缀不能为空";
    }
     
    // 允许上传的文件后缀列表
    Set allowSuffix = new HashSet<>(Arrays.asList("jpg", "jpeg", "png", "gif"));
    if (!allowSuffix.contains(suffix.toLowerCase())) {
        return "非法的文件,不允许的文件类型:" + suffix;
    }
     
    // 序列化到磁盘中的文件上传目录, /upload
    // FileCopyUtils.copy 方法会自动关闭流资源
    FileCopyUtils.copy(multipartFile.getInputStream(), Files.newOutputStream(Paths.get("D://upload", fileName), StandardOpenOption.CREATE_NEW));
     
    // 返回相对访问路径,文件名极有可能带中文或者空格等字符,进行uri编码
    return  "/" + UriUtils.encode(fileName, StandardCharsets.UTF_8);
}

使用 ImageIO 判断是否是图片

这个方法就比较严格了,在判断后缀的基础上,使用Java的ImageIO类去加载图片,尝试读取其宽高信息,如果不是合法的图片资源。则无法读取到这两个数据。就算是把非法文件修改了后缀,也可以检测出来。

public Object upload (@RequestParam("file") MultipartFile multipartFile) throws IllegalStateException, IOException {
     
    // 原始文件名称
    String fileName = multipartFile.getOriginalFilename();
     
    // 解析到文件后缀
    int index = fileName.lastIndexOf(".");
    String suffix = null;
    if (index == -1 || (suffix = fileName.substring(index + 1)).isEmpty()) {
        return "文件后缀不能为空";
    }
     
    // 允许上传的文件后缀列表
    Set allowSuffix = new HashSet<>(Arrays.asList("jpg", "jpeg", "png", "gif"));
    if (!allowSuffix.contains(suffix.toLowerCase())) {
        return "非法的文件,不允许的文件类型:" + suffix;
    }
     
    // 临时文件
    File tempFile = new File(System.getProperty("java.io.tmpdir"), fileName);
     
    try {
        // 先把文件序列化到临时目录
        multipartFile.transferTo(tempFile);
        try {
            // 尝试IO文件,判断文件的合法性
            BufferedImage  bufferedImage = ImageIO.read(tempFile);
            bufferedImage.getWidth();
            bufferedImage.getHeight();
        } catch (Exception e) {
            // IO异常,不是合法的图片文件,返回异常信息
            return "文件不是图片文件";
        }
        // 复制到到上传目录
        FileCopyUtils.copy(new FileInputStream(tempFile), Files.newOutputStream(Paths.get("D://upload", fileName), StandardOpenOption.CREATE_NEW));
        // 返回相对访问路径
        return  "/" + UriUtils.encode(fileName, StandardCharsets.UTF_8);
    } finally {
        // 响应客户端后,始终删除临时文件
        tempFile.delete();
    }
}

总结

使用ImageIo的方式更为保险,但是需要多几次IO操作。比较消耗性能。而且今天APP大都是用云存储服务,类似于阿里云的OSS。直接就把客户端上传的文件PUT到了云端,才不管用户上传的图片是不是真正的图片,非法上传,最多导致客户端不能显示而已,但是威胁不了服务器的安全。

Linux小百科
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Springboot 验证码生成和校验,图片格式和base64编码串
m0_54865014的博客
12-19 537
private int lineSize = 30; //验证码中夹杂的干扰线数量 private int randomStrNum = 4; //验证码字符个数 private String randomString = “0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWSYZ”; private final String sessionKey = “JCCODE”; //字体的设置 private Font getFont() { r
Springboot图片验证
m0_49844045的博客
03-25 1071
1、依赖引入 //图片验证码依赖 <dependency> <groupId>com.baomidou</groupId> <artifactId>kisso</artifactId> <version>3.8.1</version> </dependency> //安装 EasyCaptcha 依賴 <dependency> <groupId>com.github.wh
Spring Boot入门之拦截器及文件上传
qq_46114837的博客
03-07 262
Spring Boot入门之拦截器及文件上传 一、拦截器 1.创建interceptor/Logininterceptor.javaLogininterceptor.java package com.example.firstwell.interceptor; import lombok.extern.slf4j.Slf4j; import org.springframework.web.servlet.HandlerInterceptor; import org.springframework.we
springBoot上传文件时MultipartFile报null 空 问题解决方法
最新发布
LuckyTHP
06-05 660
1.问题描述:之前用spring MVC,转成spring boot之后发现上传不能用。网上参考说是spring boot已经有CommonsMultipartResolver了,但是我的上传后台接收的还是null。
springboot--判断form表单是否是图片上传
HadwinLing
08-19 836
@PostMapping("/admin/updateTag") public String updateTag(Tag tag,@RequestParam(name = "photo") MultipartFile photo) throws IOException { //获取文件全名 String photoName = photo.getOriginalFilename(); //首先判断是不是空的文件 if (!photo.i
判断文件是否为图片
牛奶咖啡
08-19 2229
传入参数file,判断它的后缀,返回Boolean类型的结果判断 public Boolean isImage(MultipartFile file ){ String fileName = file.getOriginalFilename(); int i = fileName.lastIndexOf('.'); String fileTy...
SpringBoot整合七牛云图片上传
12-21
七牛云提供了一套高效、稳定的云存储服务,适用于处理和存储大量的图片资源。下面,我们将按照步骤详细解释整合过程,并解答关于配置和代码实现的一些常见疑问。 首先,**注册七牛云账号**: 1. 访问七牛云官方网站...
实例详解SpringBoot+nginx实现资源上传功能
09-29
在本文中,我们将深入探讨如何使用...SpringBoot处理文件上传的业务逻辑,而Nginx则专注于静态资源的高效分发,两者协同工作,可以为用户提供流畅的上传体验。这种架构对于需要处理大量静态内容的Web应用来说非常实用。
基于SpringBoot的高清壁纸图片站.zip
05-29
【标题】基于SpringBoot的高清壁纸图片站是一个利用SpringBoot框架构建的Java应用程序,它旨在为用户提供一个方便、高效的高清壁纸浏览和下载平台。通过这个项目,我们可以深入了解SpringBoot在实际开发中的应用以及...
0001_springboot-文件上传图片上传显示.zip
09-01
为了实现实时显示上传图片,我们需要理解Web服务器如何处理静态资源。Spring Boot默认会将`src/main/resources/static`目录下的内容作为静态资源提供。因此,如果图片保存在这个路径下,可以直接通过URL访问。...
SpringBoot+文件上传
04-29
在Spring Boot应用中,文件上传是一项常见的功能,用于接收用户上传的文件,如图片、文档等。本项目利用Spring Boot的内置组件`StandardServletMultipartResolver`来实现这一功能。`...
SpringBoot项目中,常用小技巧
IT_Holmes的博客
03-29 1718
1. 插入数据库数据,并返回当前主键 2. Mybatis不能处理char类型 3. 判断文件是否是图片 4. 缩略图 thumbnailator API使用 5. @Value获取不到application.yml的情况 6. 若依框架 7. git远程分支切换 8. sql语句
SpringBoot项目:图片上传并进行简单校验
z7kirictol的博客
06-16 1336
前端代码 要注意: 1、在form标签上加上enctype=“multipart/form-data”,不然会报类型不匹配错误 2、在input标签上加上multiple才可以同时上传多个文件 <form th:action="@{upload/image}" th:method="post" enctype="multipart/form-data"> <input th:type="file" name="file" multiple> <inpu
java 不用扩展名判断文件是否为图片
shadow_zed的博客
08-13 1199
/** * 检查传入file的format名称 * @param f 传入的文件 * @return */ public static String getFormatInFile(File f) { return getFormatName(f); } /** * 对文件进行format检索 * .jpg .jpeg ....
SpringBoot 三行代码实现图片上传和预览功能
热门推荐
xiaoguangtouqiang的博客
05-14 2万+
fff
根据图片地址判断图片是否有效
ITyangk的博客
11-11 941
根据图片地址判断图片是否有效 需求 项目调用第三方接口获得很多图片信息,需要对这些图片信息进行处理,图片无效的生成excel表格反馈给第三方 解决方案 1.新建spring项目,目录结构如下 2.具体业务代码如下 @Value("${demo.savePath}") public String savePath; @Value("${demo.table-name}") private String tableName; @Value("${demo.conditio
富文本编辑器
xiaolu_0的博客
10-02 551
1、富文本编辑 2、文件上传及优化
springboot实现图片上传持久化
08-13
SpringBoot中实现图片上传持久化可以通过以下步骤来实现: 1. 配置文件上传解析器:为了能够解析客户端上传的文件,我们需要配置一个专门用于解析文件的解析器。可以通过在SpringBoot的配置类中添加`MultipartResolver`的Bean来实现,或者使用注解`@Bean`定义`CommonsMultipartResolver`。 2. 创建Controller处理文件上传请求:在Controller中添加一个处理文件上传请求的方法,使用`@PostMapping`注解来定义该方法是处理POST请求的。在方法中使用`@RequestParam("file")`注解来获取客户端上传的文件,并使用`MultipartFile`类型来接收文件数据。 3. 定义文件存储路径:为了将上传的文件持久化保存,我们需要定义一个文件存储路径。可以通过在配置文件中定义一个属性,然后在Controller中使用`@Value`注解来获取该属性的值。 4. 将文件保存到指定路径:在文件上传请求处理方法中,通过调用`MultipartFile`对象的`transferTo()`方法,将文件保存到指定的路径下。 5. 返回文件访问路径:为了能够在客户端访问到上传的文件,我们需要将文件的访问路径返回给客户端。可以通过在Controller中添加一个方法,将文件的相对路径转换为绝对路径,并将该路径返回给客户端。 总结起来,实现图片上传持久化的步骤包括配置文件上传解析器、创建Controller处理文件上传请求、定义文件存储路径、将文件保存到指定路径、返回文件访问路径。这样就能够实现在SpringBoot图片上传并持久化保存了。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [springboot实现简单的注册登录功能](https://blog.csdn.net/m0_67402731/article/details/125243930)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [CKEditor 5 + SpringBoot实战(四):SpringBoot 实现文件上传](https://blog.csdn.net/ramostear/article/details/107189599)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值