经过后缀名和MIME-TYPE检查实现文件类型校验

最新推荐文章于 2024-02-06 23:59:27 发布
最新推荐文章于 2024-02-06 23:59:27 发布
阅读量1k 收藏 3
点赞数 1
分类专栏: Java 文章标签: java 图片上传 文件类型判断 MIME-TYPE判断
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zf_csdn/article/details/128574526
版权

前言

文件上传是一个在开发中很常见的需求场景,通常出于安全考虑,我们会对上传的文件进行类型校验,其中常见的有后缀名校验,mime-type校验

话不多说,直接上代码

1.首先定义允许上传的文件类型白名单

private static final String[] suffixWhiteList = {"PNG","JPEG","JPG","GIF"};
private static final String[] mimeTypeWhiteList = {"image/jpeg","image/gif","image/png"};

2.后缀名校验

/**
 * 文件后缀名校验
 *
 * @param fileName
 *            文件名称
 * @return
 */
public static boolean suffixCheck(String fileName) {
    if(fileName == null || "".equals(fileName)){
        return false;
    }
    //从最后一个点之后截取字符串
    String suffix = fileName.substring(fileName.lastIndexOf(".") + 1);
    //白名单匹配
    boolean anyMatch = Arrays.stream(suffixWhiteList).anyMatch(x -> x.equalsIgnoreCase(suffix));
    return anyMatch;
}

3.mime-type校验,因为需要获取文件的mimeType,我引入了第三方的jar包(其他同样功能的jar包都可以)

<!-- MIME-TYPE工具包 -->
<dependency>
    <groupId>net.sf.jmimemagic</groupId>
    <artifactId>jmimemagic</artifactId>
    <version>0.1.3</version>
</dependency>

/**
 * MIMETYPE校验
 * @return
 */
public static boolean mimeTypeCheck(MultipartFile uploadFile){
    if (uploadFile.isEmpty()){
        return false;
    }
    //文件名
    String fileName = uploadFile.getOriginalFilename();
    // 获取文件后缀
    String suffix=fileName.substring(fileName.lastIndexOf("."));
    File picFile = null;
    try {
        // 用uuid作为文件名,防止生成的临时文件重复
        picFile = File.createTempFile(UuidUtils.getUuid(), suffix);
        FileUtils.copyInputStreamToFile(uploadFile.getInputStream(),picFile);
        // MultipartFile to File
        MagicMatch match = Magic.getMagicMatch(picFile, false);
        String mimeType = match.getMimeType();
        // 白名单匹配
        boolean anyMatch = Arrays.stream(mimeTypeWhiteList).anyMatch(x -> x.equalsIgnoreCase(mimeType));
        return anyMatch;

    } catch (IOException e) {
        LOGGER.error("生成临时文件异常",e);
    } catch (Exception  e) {
        LOGGER.error("MIME-TYPE检查发生异常",e);
    } finally {
        //程序结束时,删除临时文件
        if (picFile.exists()){
            picFile.delete();
        }
    }
    return false;
}

原文链接:https://www.cnblogs.com/beyond-MS/p/10593489.html

zf_csdn
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
奇安信代码卫士,文件上传漏洞解决demo
04-23
奇安信代码卫士,文件上传漏洞解决demo; #### 文件上传可以参考以下安全需求进行处理: 1. 服务器配置: (1)将上传目录和上传文件设置为不可执行, 杜绝脚本执行。 (2)应保证服务器安全,避免文件解析漏洞。 2. 在服务端对上传文件进行检查: (1)使用白名单控制上传文件类型,即只允许指定扩展名的文件上传。 (2)对上传文件后缀与MIME Type进行匹配校验, 对文件头信息与文件后缀进行匹配校验。 (3)对单个文件大小和总文件数进行限制, 避免拒绝服务攻击。 (4)对文件名进行输入校验,显示时进行输出编码。 3. 文件存储: (1)上传文件应保存在指定路径下。 (2)对上传文件进行随机数重命名,避免文件被覆盖。 (3)设置上传文件路径, 使用户不能轻易访问自己上传的文件 。 (4) 文件应尽量保存在内容服务器或web目录外部,避免通过web应用直接访问上传的文件。 4. 对于图片文件进行二次渲染、压缩, 避免图片写马。 5. 校验失败后,记录错误日志信息,内容至少包括时间、用户、IP、操作内容、校验失败
文件上传漏洞修改方案
junbj的博客
07-06 2262
文件上传漏洞
JAVA校验文件类型
最新发布
Great_est的博客
02-06 975
通常校验文件类型,是获取文件后缀,根据后缀名进行判断。但其实这种方式是有被欺骗风险的。这里记录几种判断文件类型的方式。
第四周学习
weixin_74485208的博客
11-23 341
文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直接和有效的,“文件上传” 本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。
MimeType文件校验demo
08-20
代码演示了几种获取MimeType类型的方法,包括jar包
通过后缀名和MIME-TYPE检查实现文件类型校验
b1356039的博客
03-25 1542
前言 文件上传是一个在开发中很常见的需求场景,通常出于安全考虑,我们会对上传的文件进行类型校验,其中常见的有后缀校验,mime-type校验 话不多说,直接上代码 1.首先定义允许上传的文件类型白名单 private static final String[] suffixWhiteList = {"PNG","JPEG","JPG","GIF"}; private static fi...
文件上传之验证后缀与内容是否一致
赵泽清的博客
01-04 1554
在上传前验证,开发者们往往喜欢通过后缀或者File.type()去判断一个文件类型来决定是否符合上传要求。但这显然是不可靠的,当被别有用心的人利用后,就可能在服务器被执行。今天就来解决如何在前端验证文件内容跟后缀是否一致。 1. Magic number 既然要解析文件内容那这个 Magic Number 就很关键 => Magic number:即幻数,它可以用来标记文件或者协议的格式...
web安全-文件上传(Js,MIME,文件头,黑白名单等校验
nareku的博客
03-07 4701
客户端校验————javascript校验 1.绕过JS校验方法 1)抓包改包 2)禁用JS 例:(源于网络信息安全攻防平台) 查看源码知道有JS验证 可知绕过前端JS验证才可得到flag,可将事先准备好的一句话木马的文件后缀改成jpg,随后用bp抓包 将JPG改成其他文件后缀名即可(习惯性php),发送包,得到flag 服务端校验————content-type字段校验 1.MIME类型检测 MIME type代表互联网媒体类型,MIME使用一个简单的字符串组..
ctfhub文件上传---mime验证
x2813488062的博客
01-29 932
mime详解 语法:type/subtype type表示可以被分多个子类的独立类别。 subtype 表示细分后的每个类型。 mime类型详解 web服务器使用MIME来说明发送数据的种类, web客户端使用MIME来说明希望接收到的数据种类 MIME的作用 : 使客户端软件,区分不同种类的数据,例如web浏览器就是通过MIME类型来判断文件是GIF图片,还是可打印的PostScript文件。 解题思路 Content-Type:(mime类型) mime部分类型 解题时有很多.
mime-types:Java库可检测文件的MIME类型
05-28
) 如果您的Java程序包含文件,并且需要弄清它们的MIME类型,则此库会有所帮助。用法 import org.overviewproject.mime_types.MimeTypeDetector// ...File file = new File ( " foo.txt " );...
mimetype-js:用于将文件扩展名映射到其 MIME 类型字符串的 MIME 类型目录
05-31
mimetype-js概述我发现继续为MIME类型制作这些文件扩展名查找表。 是时候把它放在一个模块中来省去麻烦了。例子一般情况var mimetype = require ( 'mimetype' ) ;console . log ( mimetype . lookup ( "myfile.txt" ...
基于mime-util-2.1.3.jar自动识别文件类型
11-19
基于mime-util-2.1.3.jar自动识别文件类型
mime-db:媒体类型数据库
04-02
mime-db 这是所有mime类型的数据库。 它由一个单一的公共JSON文件组成,并且不包含任何逻辑,因此可以使用API​​尽可能使其不受干扰。 它汇总来自以下来源的数据: 安装 npm install mime-db 数据库下载 如果您...
渗透测试-文件上传漏洞之MIME type验证原理和绕过
lza20001103的博客
04-26 2759
上传漏洞之MIME type验证原理和绕过
文件上传绕过】二、文件类型MIME-TYPE检测
ssrf
10-09 1813
文章目录一、什么是MIME?二、常见MIME类型三、检测代码四、抓包修改MIME类型进行绕过 一、什么是MIME? MIME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。 二、常见MIME类型 text/plain(纯文本) text/html(HTML文档) text/javascript(js代码) application/
MIME type和后缀名(扩展名)之间的关系
lzq001的专栏
04-06 2346
可能很多人会认为mime type和后缀之间是一一对应的关系。 其实两者之间即不是一对一,也不是一对多或者多对一的关系. mime type是一套标准规范,官方的解释是: Amedia type(also known as aMultipurpose Internet Mail Extensions or MIME type) is a standard that indicates ...
php 上传 检测扩展名,PHP文件上传:基于mime或扩展名的验证? - php
weixin_39685697的博客
04-12 190
当我尝试处理文件上传时,是否应该基于文件MIME类型文件扩展名运行验证?这两种文件验证方式的优缺点是什么?而且,我应该关注其他任何安全问题吗?这些天来,我一直依靠MIME类型,但是这篇文章中投票最多的答案是File upload issues in PHP说:永远不要依赖浏览器提交的MIME类型!参考方案好的,对于这里的所有热心人士,我都在讲一些“螺丝扩展,检查MIME!FILEINFO RLZ...
SpringBoot文件上传与校验
Shawn的个人博客
12-02 6059
文章目录一、简介1、概述2、环境与技术介绍3、简单的文件上传二、文件校验与上传实战1、 前提准备2、 文件枚举类3、 自定义文件校验注解4、 文件校验切面5、 文件上传工具类6、 控制类7、 配置文件8、 文件的前端显示三、阿里云OSS文件上传1、 阿里云oss配置2、 Java整合oss3、 注意事项 一、简介 1、概述 文件上传是Web项目的一个基本功能,一般是通过上传文件后缀名进行格式校验,但是由于文件后缀是可以手动更改的,黑客可以通过修改后缀名入侵文件服务器,因此后缀校验不是一种严格有效的文件
检查上传文件后缀
03-31 222
if (!empty($_FILES['file']['name'])) { $pathinfo = pathinfo($_FILES['file']['name']); if (($pathinfo['extension'] == 'xlsx' || $pathinfo['extension'] == 'xls') && $_FILES['file']['size'] > 0 ) { $inputFileName = $_FIL.
<mime-mapping>的子配置 <extension>和<mime-type>表示什么意思呢
06-10
通过在<mime-mapping>元素中配置和<mime-type>元素,可以将文件的扩展名映射到对应的MIME类型,当Web服务器接收到请求时,就可以根据文件扩展名来确定文件类型,然后将对应的MIME类型发送给客户端浏览器,以确保文件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值