经过后缀名和MIME-TYPE检查实现文件类型校验

最新推荐文章于 2024-09-10 09:18:18 发布
最新推荐文章于 2024-09-10 09:18:18 发布
阅读量1.3k 收藏 3
点赞数 1
分类专栏: Java 文章标签: java 图片上传 文件类型判断 MIME-TYPE判断
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zf_csdn/article/details/128574526
版权
本文介绍了在Java开发中如何进行文件类型校验,特别是通过后缀名和MIME-TYPE来确保上传文件的安全性。提供了允许上传的文件类型白名单设置,并详细讲解了后缀名及利用第三方库进行mime-type校验的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

文件上传是一个在开发中很常见的需求场景,通常出于安全考虑,我们会对上传的文件进行类型校验,其中常见的有后缀名校验,mime-type校验

话不多说,直接上代码

1.首先定义允许上传的文件类型白名单

private static final String[] suffixWhiteList = {
   "PNG","JPEG","JPG","GIF"};
private static final String[] mimeTypeWhiteList = {
   "image/jpeg","image/gif","image/png"};

2.后缀名校验

/**
 * 文件后缀名校验
 *
 * @param fileName
 *            文件名称
 * @return
 */
public static boolean suffixCheck(String fileName) {
   
    if(fileName == null || "".equals(fileName)){
最低0.47元/天 解锁文章
【文件上传漏洞-04】服务器端检测与绕过实例(包含MIME类型、后缀名、文件内容)
m0_64378913的博客
05-31 2351
目录1 相关基础知识1.1 MIME类型检测概述1.1.1 概述1.1.2 文件格式1.1.3 检测与绕过1.2 后缀名检测概述1.3 文件内容检测概述1.3.1 简介1.3.2 图片马的制作方法2 实例操作环境及前期准备简历2.1 操作环境2.2 前期准备3 MIME类型检测与绕过实例4 文件后缀名检测与绕过实例5 文件内容检测与绕过实例6 总结 1 相关基础知识 1.1 MIME类型检测概述 1.1.1 概述 定义:MIME(Multipurpose Internet Mail
MIME类型绕过漏洞
whatiwhere的博客
11-15 8152
实验环境 操作机: Windows XP 目标机:Windows 2003 目标网址:www.test.com 实验目的 掌握上传绕过服务端MIME的原理 掌握上传绕过服务端MIME的方法 实验工具 Burp Suite: 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP ...
MimeType文件校验demo
08-20
代码演示了几种获取MimeType类型的方法,包括jar包
通过后缀名MIME-TYPE检查实现文件类型校验
b1356039的博客
03-25 1707
前言 文件上传是一个在开发中很常见的需求场景,通常出于安全考虑,我们会对上传的文件进行类型校验,其中常见的有后缀名校验,mime-type校验 话不多说,直接上代码 1.首先定义允许上传的文件类型白名单 private static final String[] suffixWhiteList = {"PNG","JPEG","JPG","GIF"}; private static fi...
文件上传之验证后缀与内容是否一致
赵泽清的博客
01-04 1830
在上传前验证,开发者们往往喜欢通过后缀或者File.type()去判断一个文件类型来决定是否符合上传要求。但这显然是不可靠的,当被别有用心的人利用后,就可能在服务器被执行。今天就来解决如何在前端验证文件内容跟后缀是否一致。 1. Magic number 既然要解析文件内容那这个 Magic Number 就很关键 => Magic number:即幻数,它可以用来标记文件或者协议的格式...
web安全-文件上传(Js,MIME,文件头,黑白名单校验
nareku的博客
03-07 4970
客户端校验————javascript校验 1.绕过JS校验方法 1)抓包改包 2)禁用JS 例:(源于网络信息安全攻防平台) 查看源码知道有JS验证 可知绕过前端JS验证才可得到flag,可将事先准备好的一句话木马的文件后缀改成jpg,随后用bp抓包 将JPG改成其他文件后缀名即可(习惯性php),发送包,得到flag 服务端校验————content-type字段校验 1.MIME类型检测 MIME type代表互联网媒体类型,MIME使用一个简单的字符串组..
ctfhub文件上传---mime验证
x2813488062的博客
01-29 1116
mime详解 语法:type/subtype type表示可以被分多个子类的独立类别。 subtype 表示细分后的每个类型。 mime类型详解 web服务器使用MIME来说明发送数据的种类, web客户端使用MIME来说明希望接收到的数据种类 MIME的作用 : 使客户端软件,区分不同种类的数据,例如web浏览器就是通过MIME类型来判断文件是GIF图片,还是可打印的PostScript文件。 解题思路 Content-Type:(mime类型) mime部分类型 解题时有很多.
渗透测试-文件上传漏洞之MIME type验证原理绕过
lza20001103的博客
04-26 4019
上传漏洞之MIME type验证原理绕过
【文件上传绕过】二、文件类型MIME-TYPE检测
ssrf
10-09 2547
文章目录一、什么是MIME?二、常见MIME类型三、检测代码四、抓包修改MIME类型进行绕过 一、什么是MIMEMIME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。 二、常见MIME类型 text/plain(纯文本) text/html(HTML文档) text/javascript(js代码) application/
探索MIME类型检测的利器:mimetype
最新发布
gitblog_00259的博客
09-10 518
探索MIME类型检测的利器:mimetype mimetypeA fast Golang library for media type and file extension detection, based on magic numbers项目地址:https://gitcode.com/gh_mirrors/mi/mimetype 项目介绍 在现代的Web开发文件处理中,准确识别文件的MIM...
MIME type后缀名(扩展名)之间的关系
lzq001的专栏
04-06 2601
可能很多人会认为mime type后缀之间是一一对应的关系。 其实两者之间即不是一对一,也不是一对多或者多对一的关系. mime type是一套标准规范,官方的解释是: Amedia type(also known as aMultipurpose Internet Mail Extensions or MIME type) is a standard that indicates ...
php 上传 检测扩展名,PHP文件上传:基于mime或扩展名的验证? - php
weixin_39685697的博客
04-12 269
当我尝试处理文件上传时,是否应该基于文件MIME类型或文件扩展名运行验证?这两种文件验证方式的优缺点是什么?而且,我应该关注其他任何安全问题吗?这些天来,我一直依靠MIME类型,但是这篇文章中投票最多的答案是File upload issues in PHP说:永远不要依赖浏览器提交的MIME类型!参考方案好的,对于这里的所有热心人士,我都在讲一些“螺丝扩展,检查MIME!FILEINFO RLZ...
SpringBoot文件上传与校验
Shawn的个人博客
12-02 7354
文章目录一、简介1、概述2、环境与技术介绍3、简单的文件上传二、文件校验与上传实战1、 前提准备2、 文件枚举类3、 自定义文件校验注解4、 文件校验切面5、 文件上传工具类6、 控制类7、 配置文件8、 文件的前端显示三、阿里云OSS文件上传1、 阿里云oss配置2、 Java整合oss3、 注意事项 一、简介 1、概述 文件上传是Web项目的一个基本功能,一般是通过上传文件的后缀名进行格式校验,但是由于文件的后缀是可以手动更改的,黑客可以通过修改后缀名入侵文件服务器,因此后缀名校验不是一种严格有效的文件
检查上传文件后缀
03-31 323
if (!empty($_FILES['file']['name'])) { $pathinfo = pathinfo($_FILES['file']['name']); if (($pathinfo['extension'] == 'xlsx' || $pathinfo['extension'] == 'xls') && $_FILES['file']['size'] > 0 ) { $inputFileName = $_FIL.
上传文件校验
wangmuduxingxia2的博客
10-12 1168
为了防止一些用户将一些病毒文件上传到服务器,我们一般需要对上传的文件做合法性校验, 当时有时候简单的后缀contentType校验任然还有风险,下面我们一起来讨论一下上传的文件需要做哪些合法性校验。   1、文件后缀校验 这层校验应该说是最基本的校验了,我们不能允许用户上传一些exe、jsp、php、asp、html等可执行的文件。   2、contentType校验 conte...
Mime类型与文件后缀对照表及探测文件MIME的方法
顾丽江的专栏
02-28 725
估计很多朋友对不同后缀的文件对应的MIME类型不熟悉(实际上这么多我也记不住),所以将平常常见的一些文件后缀对应的MIME类型写了一个对照表,现在奉献给大家: 文件后缀 MIME 备注 *.avi video/x-msvideo 视频文件 *.aif *.aiff *.aifc audio/
mimetype:一文读懂 Go 文件类型检测库的原理用法
EDDYCJY的博客
07-11 2405
阅读本文大概需要 4 分钟。mimetype[1] 是一个快速的 Golang 库,用于根据 magic number 来检测媒体类型文件扩展名。magic number 是文件开头的一些特定字节,用于标识文件的格式。mimetype 库可以根据这些字节来判断文件的 MIME 类型扩展名,而不需要依赖文件名或其他元数据。工作中,我们需要检测文件类型,用的就是这个库。该库的特性介绍mimetyp...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值