文件上传之类型验证

最新推荐文章于 2023-05-24 11:05:57 发布
最新推荐文章于 2023-05-24 11:05:57 发布
阅读量1.6k 收藏 5
点赞数
分类专栏: java基础 文章标签: 文件上传 真实类型 javaWeb java 魔数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yssa1125001/article/details/85072410
版权

实际项目中,文件类型的确定绝对不能仅仅依靠后缀名,因为很多攻击方式都是通过把可执行文件弄个其他的后缀名然后上传服务器进行攻击的,所以必须使用文件头魔数来进行文件类型的确定才可以。。。

以下

 

验证类如下:(验证类比照大神写的,留作备份!)

import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.IOException;
import java.util.*;

/**
 * 验证文件真实类型工具类(魔数)
 */
public class CheckFileType {
    public static final Map<String,String> FILE_TYPE_MAP = new HashMap<String, String>();

    private CheckFileType(){}

    static{
        getAllFileType();
    }
    private static void getAllFileType(){
        FILE_TYPE_MAP.put("ffd8ffe000104a464946", "jpg"); //JPEG (jpg)
        FILE_TYPE_MAP.put("89504e470d0a1a0a0000", "png"); //PNG (png)
        FILE_TYPE_MAP.put("47494638396126026f01", "gif"); //GIF (gif)
        FILE_TYPE_MAP.put("49492a00227105008037", "tif"); //TIFF (tif)
        FILE_TYPE_MAP.put("424d228c010000000000", "bmp"); //16色位图(bmp)
        FILE_TYPE_MAP.put("424d8240090000000000", "bmp"); //24位位图(bmp)
        FILE_TYPE_MAP.put("424d8e1b030000000000", "bmp"); //256色位图(bmp)
        FILE_TYPE_MAP.put("41433130313500000000", "dwg"); //CAD (dwg)
        FILE_TYPE_MAP.put("3c21444f435459504520", "html"); //HTML (html)
        FILE_TYPE_MAP.put("3c21646f637479706520", "htm"); //HTM (htm)
        FILE_TYPE_MAP.put("48544d4c207b0d0a0942", "css"); //css
        FILE_TYPE_MAP.put("696b2e71623d696b2e71", "js"); //js
        FILE_TYPE_MAP.put("7b5c727466315c616e73", "rtf"); //Rich Text Format (rtf)
        FILE_TYPE_MAP.put("38425053000100000000", "psd"); //Photoshop (psd)
        FILE_TYPE_MAP.put("46726f6d3a203d3f6762", "eml"); //Email [Outlook Express 6] (eml)
        FILE_TYPE_MAP.put("d0cf11e0a1b11ae10000", "doc"); //MS Excel 注意:word、msi 和 excel的文件头一样
        FILE_TYPE_MAP.put("d0cf11e0a1b11ae10000", "vsd"); //Visio 绘图
        FILE_TYPE_MAP.put("5374616E64617264204A", "mdb"); //MS Access (mdb)
        FILE_TYPE_MAP.put("252150532D41646F6265", "ps");
        FILE_TYPE_MAP.put("255044462d312e350d0a", "pdf"); //Adobe Acrobat (pdf)
        FILE_TYPE_MAP.put("2e524d46000000120001", "rmvb"); //rmvb/rm相同
        FILE_TYPE_MAP.put("464c5601050000000900", "flv"); //flv与f4v相同
        FILE_TYPE_MAP.put("00000020667479706d70", "mp4");
        FILE_TYPE_MAP.put("49443303000000002176", "mp3");
        FILE_TYPE_MAP.put("000001ba210001000180", "mpg"); //
        FILE_TYPE_MAP.put("3026b2758e66cf11a6d9", "wmv"); //wmv与asf相同
        FILE_TYPE_MAP.put("52494646e27807005741", "wav"); //Wave (wav)
        FILE_TYPE_MAP.put("52494646d07d60074156", "avi");
        FILE_TYPE_MAP.put("4d546864000000060001", "mid"); //MIDI (mid)
        FILE_TYPE_MAP.put("504b0304140000000800", "zip");
        FILE_TYPE_MAP.put("526172211a0700cf9073", "rar");
        FILE_TYPE_MAP.put("235468697320636f6e66", "ini");
        FILE_TYPE_MAP.put("504b03040a0000000000", "jar");
        FILE_TYPE_MAP.put("4d5a9000030000000400", "exe");//可执行文件
        FILE_TYPE_MAP.put("3c25402070616765206c", "jsp");//jsp文件
        FILE_TYPE_MAP.put("4d616e69666573742d56", "mf");//MF文件
        FILE_TYPE_MAP.put("3c3f786d6c2076657273", "xml");//xml文件
        FILE_TYPE_MAP.put("494e5345525420494e54", "sql");//xml文件
        FILE_TYPE_MAP.put("7061636b616765207765", "java");//java文件
        FILE_TYPE_MAP.put("406563686f206f66660d", "bat");//bat文件
        FILE_TYPE_MAP.put("1f8b0800000000000000", "gz");//gz文件
        FILE_TYPE_MAP.put("6c6f67346a2e726f6f74", "properties");//bat文件
        FILE_TYPE_MAP.put("cafebabe0000002e0041", "class");//bat文件
        FILE_TYPE_MAP.put("49545346030000006000", "chm");//bat文件
        FILE_TYPE_MAP.put("04000000010000001300", "mxp");//bat文件
        FILE_TYPE_MAP.put("504b0304140006000800", "docx");//docx文件
        FILE_TYPE_MAP.put("d0cf11e0a1b11ae10000", "wps");//WPS文字wps、表格et、演示dps都是一样的
        FILE_TYPE_MAP.put("6431303a637265617465", "torrent");

        FILE_TYPE_MAP.put("3c68746d6c20786d6c6e", "htm");//猎聘、智联简历。htm
        FILE_TYPE_MAP.put("46726f6d3a3cd3c920cd", "mht");//51job简历。mht

        FILE_TYPE_MAP.put("6D6F6F76", "mov"); //Quicktime (mov)
        FILE_TYPE_MAP.put("FF575043", "wpd"); //WordPerfect (wpd)
        FILE_TYPE_MAP.put("CFAD12FEC5FD746F", "dbx"); //Outlook Express (dbx)
        FILE_TYPE_MAP.put("2142444E", "pst"); //Outlook (pst)
        FILE_TYPE_MAP.put("AC9EBD8F", "qdf"); //Quicken (qdf)
        FILE_TYPE_MAP.put("E3828596", "pwl"); //Windows Password (pwl)
        FILE_TYPE_MAP.put("2E7261FD", "ram"); //Real Audio (ram)
    }

    /**
     * 得到上传文件的文件头
     * @param src
     * @return
     */
    public static String bytesToHexString(byte[] src){
        StringBuffer stringBuffer = new StringBuffer();
        if(src==null || src.length<=0){
            return null;
        }
        for(int i =0;i<src.length;i++){
            int v =src[i] & 0xFF;
            String hv = Integer.toHexString(v);
            if(hv.length()<2){
                stringBuffer.append(0);
            }
            stringBuffer.append(hv);
        }
        return stringBuffer.toString();
    }

    /**
     * 获取文件真实类型
     * @param filePath
     * @return
     */
    public static String getFileType(String filePath){
        String res = null;
        try{
            FileInputStream in = new FileInputStream(filePath);
            byte[] b = new byte[10];
            in.read(b,0,b.length);
            String fileCode = bytesToHexString(b);
            System.out.println(fileCode);

            //这种方法在字典的头代码不够位数的时候可以用但是速度相对慢一点
            Iterator<String> keyIter = FILE_TYPE_MAP.keySet().iterator();
            while(keyIter.hasNext()){
                String key = keyIter.next();
                if(key.toLowerCase().startsWith(fileCode.toLowerCase()) || fileCode.toLowerCase().startsWith(key.toLowerCase())){
                    res = FILE_TYPE_MAP.get(key);
                    break;
                }
            }
        }catch(FileNotFoundException e){
            e.printStackTrace();
        }catch (IOException e){
            e.printStackTrace();
        }
        return res;
    }

    /**
     * 获取文件真实类型
     * @param
     * @return
     */
    public static String getFileType(byte[] b){
        String res = null;
        try{
            String fileCode = bytesToHexString(b);
            System.out.println(fileCode);
            //这种方法在字典的头代码不够位数的时候可以用但是速度相对慢一点
            Iterator<String> keyIter = FILE_TYPE_MAP.keySet().iterator();
            while(keyIter.hasNext()){
                String key = keyIter.next();
                if(key.toLowerCase().startsWith(fileCode.toLowerCase()) || fileCode.toLowerCase().startsWith(key.toLowerCase())){
                    res = FILE_TYPE_MAP.get(key);
                    break;
                }
            }
        }catch (Exception e){
            e.printStackTrace();
        }
        return res;
    }
}

然后就是在控制器里验证了:

for(MultipartFile newFile:photo){//文件数组
    byte[] b = new byte[10];
    b = newFile.getBytes();
    String types = CheckFileType.getFileType(b);//获取文件实际类型
    System.out.println(types);
    if("jpg".equals(types) || "png".equals(types) || "gif".equals(types)){
        return "upSuccess";
    }else{
        request.setAttribute("insertError","格式类型错误!");
        return "error";
    }
}
yssa1125001
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
文件上传校验方式及绕过思路
刘启明
06-17 7351
文件上传校验方式 客户端javascript校验(一般只校验后缀名) 服务端校验 文件头content-type字段校验(image/gif) 文件内容头校验(GIF89a) 后缀名黑名单校验 后缀名白名单校验 自定义正则校验 WAF设备校验(根据不同的WAF产品而定) 1. 客户端校验 一般都是在网页上写一段javascript脚本,校验上传文件的后缀名,有白名单形式也有黑名单形式。 判断...
谈谈前端关于文件上传下载那些事资料.zip
05-03
前端开发中总免不了关于文件上传、下载需求,文档用来总结一下常用的方法。以及推荐JavaScript经典实例学习资料文章。
jQuery简单验证上传文件大小及类型的方法
10-22
主要介绍了jQuery简单验证上传文件大小及类型的方法,结合实例形式分析了jQuery针对上传文件类型与大小运算操作相关技巧,需要的朋友可以参考下
JS简单验证上传文件类型的方法
10-20
主要介绍了JS简单验证上传文件类型的方法,涉及javascript文件遍历及字符串截取、匹配等相关操作技巧,需要的朋友可以参考下
上传文件类型验证
weixin_44145478的博客
12-23 321
@Retention(RetentionPolicy.RUNTIME) @Target({ElementType.METHOD}) @Documented public @interface PermitFileCategory { /** * 允许的文件类别 * @return */ FileCategoryEnum[] value(); } ...
java 判断文件编码格式(支持zip)
一物降一物的博客
02-02 1万+
java 判断文件编码格式(支持zip) 前言: 最近在工作过程中遇到了这样的问题: 通过文件上传,需要导入zip包中的文件信息。 由于使用的是apache的ant.jar中的ZipFile类、ZipEntry类。由于目前该工具类并不能判断zip中每个文件的具体的编码, 导致解析时出现中文乱码。通过查找资料发现借鉴使用第三方工具cpDetector解决。因此在此做个记录。
前端开发过程中文件上传格式校验遇到的坑
Thetardis的博客
05-24 1337
前端开发过程中文件上传格式校验遇到的坑
不同浏览器上传zip文件格式的mime类型解释
肆意放大快乐!!!
04-09 6274
浏览器类型                                        mime类型 ie浏览器                                              application/x-zip-compressed 火狐浏览器                                        application/octet-str
java判断上传文件类型(笔记)
热门推荐
蓝色星空
03-07 1万+
之前做过一个功能,说是上传文件到服务器,但是所有文件excel、word、音乐、视频等都上传到一个文件夹,不利于查找,于是自己上网查询关于这方面的资料,决定按文件后缀名,给文件进行分类,存放不同文件夹。整理如下:package common.util; //文件类型枚取  public enum FileType { /** * JEPG. */ ...
文件上传验证大小类型
05-13
java实现各种文件上传验证大小,文件类型是否规范
fileupload控件 文件类型客户端验证实现代码
10-29
客户端JS验证fileupload控件,设置只允许特定的文件类型 ,当然服务器端更要判断啊。这里是为了后台验证的更顺利。
java解析zip格式压缩包
qq_40303596的博客
09-09 2489
java解析zip格式压缩包 做项目时遇到需要将zip格式的压缩包解析里面的图片 将里面的图片保存到文件夹 并且保存到数据库中关联起来 在上传时判断是否为zip格式的文件 @RequestMapping(value = "/file", method = RequestMethod.POST) @ApiOperation(value = "文件上传") public Result<Object> upload(@RequestParam(required = false
实战 - 文件上传功能:校验文件类型文件大小,获取文件真实类型
你今天真好看呀
11-24 1万+
① 定义允许上传的附件类型: attachment: file: maxSize: 10 types: jpeg: FFD8FF jpg: FFD8FF bmp: 424D png: 89504E47 rtf: 7B5C727466 txt: 75736167 pdf: 255044462D312E doc: D0CF11E0 docx: 504B030414 ② 读取appli
java文件类型校验_JAVA文件类型的校验
weixin_39783156的博客
02-24 766
通常,在WEB系统中,上传文件时都需要做文件类型校验,大致有如下几种方法:1. 通过后缀名,如exe,jpg,bmp,rar,zip等等。2. 通过读取文件,获取文件的Content-type来判断。3. 通过读取文件流,根据文件流中特定的一些字节标识来区分不同类型文件。4. 若是图片,则通过缩放来判断,可以缩放的为图片,不可以的则不是。然而,在安全性较高的业务场景中,1,2两种方法的校验会被...
文件上传时校验文件类型文件大小
CSDN已弃用
10-15 5177
在JS中校验的方式: var filename = document.form_name.file.value; var patrn = /^.+\.(zip|rar)$/; //只允许后缀名为.zip或.rar的文件 if(!patrn.exec(filename)){ alert("请上传.zip或.rar文件!"); return false; }else{ var file...
前端下载文件流详解】前端实现多种类型文件(word,excel,pdf,rar,zip等)的下载,接口返回文件流形式(附源码)
赏樱看雪撸代码
04-23 4023
前端下载返回乱码,前端调用接口返回文件流,压缩包rar下载,如何实现word打包下载,前端常见的多种文档下载请求,实现zip,rar,word,excel等多种文件前端下载,前端多个文件打包下载,MIME类型大全。
element plus解析zip文件上传
weixin_49295874的博客
06-25 813
element plus解析zip文件上传
java 打包工具jar,打包工具类为jar包,注意事项
yssa1125001的博客
12-10 7368
java 打包工具jar,打包工具类为jar包,注意事项
验证文件类型MultipartFile hutool
最新发布
10-12
可以使用Hutool的FileUtil工具类来验证MultipartFile的文件类型。具体步骤如下: 1. 获取MultipartFile的文件名和文件流 2. 使用FileUtil的getMimeType方法获取文件的MIME类型 3. 判断MIME类型是否符合要求 示例...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值