Java判断文件类型nbsp;(转)

2024-06-13 22:38
文章标签 java 判断 文件类型 nbsp

本文主要是介绍Java判断文件类型nbsp;(转),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

通常,在WEB系统中,上传文件时都需要做文件的类型校验,大致有如下几种方法:

1. 通过后缀名,如exe,jpg,bmp,rar,zip等等。

2. 通过读取文件,获取文件的Content-type来判断。

3. 通过读取文件流,根据文件流中特定的一些字节标识来区分不同类型的文件。

4. 若是图片,则通过缩放来判断,可以缩放的为图片,不可以的则不是。

然而,在安全性较高的业务场景中,1,2两种方法的校验会被轻易绕过。

1. 伪造后缀名,如图片的,非常容易修改。

2. 伪造文件的Content-type,这个稍微复杂点,为了直观,截图如下:

Java判断文件类型 <wbr>(转)

3.较安全,但是要读取文件,并有16进制转换等操作,性能稍差,但能满足一定条件下对安全的要求,所以建议使用。

  但是文件头的信息也可以伪造,截图如下,对于图片可以采用图片缩放或者获取图片宽高的方法避免伪造头信息漏洞。

Java判断文件类型 <wbr>(转)

                                              被伪装成gif的恶意图片文件

对应的Java代码如下:

import java.awt.image.BufferedImage;  

import java.io.File;  

import java.io.FileInputStream;  

import java.io.FileNotFoundException;  

import java.io.IOException;  

import java.io.InputStream;  

import java.util.HashMap;  

import java.util.Iterator;  

import java.util.Map;  

import java.util.Map.Entry;  

import javax.imageio.ImageIO;  

import javax.imageio.ImageReader;  

import javax.imageio.stream.ImageInputStream;  

    

public class FileTypeTest    

{    

    public final static Map FILE_TYPE_MAP = new HashMap();    

        

    private FileTypeTest(){}    

    static{    

        getAllFileType();  //初始化文件类型信息    

    }    

        

       

    private static void getAllFileType()    

    {    

        FILE_TYPE_MAP.put("jpg", "FFD8FF"); //JPEG (jpg)    

        FILE_TYPE_MAP.put("png", "89504E47");  //PNG (png)    

        FILE_TYPE_MAP.put("gif", "47494638");  //GIF (gif)    

        FILE_TYPE_MAP.put("tif", "49492A00");  //TIFF (tif)    

        FILE_TYPE_MAP.put("bmp", "424D"); //Windows Bitmap (bmp)    

        FILE_TYPE_MAP.put("dwg", "41433130"); //CAD (dwg)    

        FILE_TYPE_MAP.put("html", "68746D6C3E");  //HTML (html)    

        FILE_TYPE_MAP.put("rtf", "7B5C727466");  //Rich Text Format (rtf)    

        FILE_TYPE_MAP.put("xml", "3C3F786D6C");    

        FILE_TYPE_MAP.put("zip", "504B0304");    

        FILE_TYPE_MAP.put("rar", "52617221");    

        FILE_TYPE_MAP.put("psd", "38425053");  //Photoshop (psd)    

        FILE_TYPE_MAP.put("eml", "44656C69766572792D646174653A");  //Email [thorough only] (eml)   

        FILE_TYPE_MAP.put("dbx", "CFAD12FEC5FD746F");  //Outlook Express (dbx)    

        FILE_TYPE_MAP.put("pst", "2142444E");  //Outlook (pst)    

        FILE_TYPE_MAP.put("xls", "D0CF11E0");  //MS Word    

        FILE_TYPE_MAP.put("doc", "D0CF11E0");  //MS Excel 注意:word 和 excel的文件头一样    

        FILE_TYPE_MAP.put("mdb", "5374616E64617264204A");  //MS Access (mdb)    

        FILE_TYPE_MAP.put("wpd", "FF575043"); //WordPerfect (wpd)     

        FILE_TYPE_MAP.put("eps", "252150532D41646F6265");    

        FILE_TYPE_MAP.put("ps", "252150532D41646F6265");    

        FILE_TYPE_MAP.put("pdf", "255044462D312E");  //Adobe Acrobat (pdf)    

        FILE_TYPE_MAP.put("qdf", "AC9EBD8F");  //Quicken (qdf)    

        FILE_TYPE_MAP.put("pwl", "E3828596");  //Windows Password (pwl)    

        FILE_TYPE_MAP.put("wav", "57415645");  //Wave (wav)    

        FILE_TYPE_MAP.put("avi", "41564920");    

        FILE_TYPE_MAP.put("ram", "2E7261FD");  //Real Audio (ram)    

        FILE_TYPE_MAP.put("rm", "2E524D46");  //Real Media (rm)    

        FILE_TYPE_MAP.put("mpg", "000001BA");  //    

        FILE_TYPE_MAP.put("mov", "6D6F6F76");  //Quicktime (mov)    

        FILE_TYPE_MAP.put("asf", "3026B2758E66CF11"); //Windows Media (asf)    

        FILE_TYPE_MAP.put("mid", "4D546864");  //MIDI (mid)    

    }    

    

    public static void main(String[] args) throws Exception    

    {    

        File f = new File("c://aaa.gif");    

        if (f.exists())    

        {    

            String filetype1 = getImageFileType(f);    

            System.out.println(filetype1);    

            String filetype2 = getFileByFile(f);    

            System.out.println(filetype2);    

        }    

    }    

    

       

    public final static String getImageFileType(File f)    

    {    

        if (isImage(f))  

        {  

            try  

            {  

                ImageInputStream iis = ImageIO.createImageInputStream(f);  

                Iterator iter = ImageIO.getImageReaders(iis);  

                if (!iter.hasNext())  

                {  

                    return null;  

                }  

                ImageReader reader = iter.next();  

                iis.close();  

                return reader.getFormatName();  

            }  

            catch (IOException e)  

            {  

                return null;  

            }  

            catch (Exception e)  

            {  

                return null;  

            }  

        }  

        return null;  

    }    

    

       

    public final static String getFileByFile(File file)    

    {    

        String filetype = null;    

        byte[] b = new byte[50];    

        try    

        {    

            InputStream is = new FileInputStream(file);    

            is.read(b);    

            filetype = getFileTypeByStream(b);    

            is.close();    

        }    

        catch (FileNotFoundException e)    

        {    

            e.printStackTrace();    

        }    

        catch (IOException e)    

        {    

            e.printStackTrace();    

        }    

        return filetype;    

    }    

        

       

    public final static String getFileTypeByStream(byte[] b)    

    {    

        String filetypeHex = String.valueOf(getFileHexString(b));    

        Iterator> entryiterator = FILE_TYPE_MAP.entrySet().iterator();    

        while (entryiterator.hasNext()) {    

            Entry entry =  entryiterator.next();    

            String fileTypeHexValue = entry.getValue();    

            if (filetypeHex.toUpperCase().startsWith(fileTypeHexValue)) {    

                return entry.getKey();    

            }    

        }    

        return null;    

    }    

        

     

    public static final boolean isImage(File file){  

        boolean flag = false;  

        try  

        {  

            BufferedImage bufreader = ImageIO.read(file);  

            int width = bufreader.getWidth();  

            int height = bufreader.getHeight();  

            if(width==0 || height==0){  

                flag = false;  

            }else {  

                flag = true;  

            }  

        }  

        catch (IOException e)  

        {  

            flag = false;  

        }catch (Exception e) {  

            flag = false;  

        }  

        return flag;  

    }  

      

       

    public final static String getFileHexString(byte[] b)    

    {    

        StringBuilder stringBuilder = new StringBuilder();    

        if (b == null || b.length <= 0)    

        {    

            return null;    

        }    

        for (int i = 0; i < b.length; i++)    

        {    

            int v = b[i] & 0xFF;    

            String hv = Integer.toHexString(v);    

            if (hv.length() < 2)    

            {    

                stringBuilder.append(0);    

            }    

            stringBuilder.append(hv);    

        }    

        return stringBuilder.toString();    

    }    

}  

这样,不管是传入的文件有后缀名,还是无后缀名,或者修改了后缀名,真正获取到的才是该文件的实际类型,这样避免了一些想通过修改后缀名或者Content-type信息来攻击的因素。但是性能与安全永远是无法同时完美的,安全的同时付出了读取文件的代价。本人建议可采用后缀名与读取文件的方式结合校验,毕竟攻击是少数,后缀名的校验能排除大多数用户,在后缀名获取不到时再通过获取文件真实类型校验,这样来适当提高性能。


这篇关于Java判断文件类型nbsp;(转)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1058626

相关文章

JVM 的类初始化机制

前言 当你在 Java 程序中new对象时,有没有考虑过 JVM 是如何把静态的字节码(byte code)转化为运行时对象的呢,这个问题看似简单,但清楚的同学相信也不会太多,这篇文章首先介绍 JVM 类初始化的机制,然后给出几个易出错的实例来分析,帮助大家更好理解这个知识点。 JVM 将字节码转化为运行时对象分为三个阶段,分别是:loading 、Linking、initialization

Spring Security 基于表达式的权限控制

前言 spring security 3.0已经可以使用spring el表达式来控制授权,允许在表达式中使用复杂的布尔逻辑来控制访问的权限。 常见的表达式 Spring Security可用表达式对象的基类是SecurityExpressionRoot。 表达式描述hasRole([role])用户拥有制定的角色时返回true (Spring security默认会带有ROLE_前缀),去

浅析Spring Security认证过程

类图 为了方便理解Spring Security认证流程,特意画了如下的类图,包含相关的核心认证类 概述 核心验证器 AuthenticationManager 该对象提供了认证方法的入口,接收一个Authentiaton对象作为参数; public interface AuthenticationManager {Authentication authenticate(Authenti

Spring Security--Architecture Overview

1 核心组件 这一节主要介绍一些在Spring Security中常见且核心的Java类,它们之间的依赖,构建起了整个框架。想要理解整个架构,最起码得对这些类眼熟。 1.1 SecurityContextHolder SecurityContextHolder用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限…这些都被保

Spring Security基于数据库验证流程详解

Spring Security 校验流程图 相关解释说明(认真看哦) AbstractAuthenticationProcessingFilter 抽象类 /*** 调用 #requiresAuthentication(HttpServletRequest, HttpServletResponse) 决定是否需要进行验证操作。* 如果需要验证,则会调用 #attemptAuthentica

Spring Security 从入门到进阶系列教程

Spring Security 入门系列 《保护 Web 应用的安全》 《Spring-Security-入门(一):登录与退出》 《Spring-Security-入门(二):基于数据库验证》 《Spring-Security-入门(三):密码加密》 《Spring-Security-入门(四):自定义-Filter》 《Spring-Security-入门(五):在 Sprin

Java架构师知识体认识

源码分析 常用设计模式 Proxy代理模式Factory工厂模式Singleton单例模式Delegate委派模式Strategy策略模式Prototype原型模式Template模板模式 Spring5 beans 接口实例化代理Bean操作 Context Ioc容器设计原理及高级特性Aop设计原理Factorybean与Beanfactory Transaction 声明式事物

Java进阶13讲__第12讲_1/2

多线程、线程池 1.  线程概念 1.1  什么是线程 1.2  线程的好处 2.   创建线程的三种方式 注意事项 2.1  继承Thread类 2.1.1 认识  2.1.2  编码实现  package cn.hdc.oop10.Thread;import org.slf4j.Logger;import org.slf4j.LoggerFactory

JAVA智听未来一站式有声阅读平台听书系统小程序源码

智听未来,一站式有声阅读平台听书系统 🌟&nbsp;开篇:遇见未来,从“智听”开始 在这个快节奏的时代,你是否渴望在忙碌的间隙,找到一片属于自己的宁静角落?是否梦想着能随时随地,沉浸在知识的海洋,或是故事的奇幻世界里?今天,就让我带你一起探索“智听未来”——这一站式有声阅读平台听书系统,它正悄悄改变着我们的阅读方式,让未来触手可及! 📚&nbsp;第一站:海量资源,应有尽有 走进“智听

poj 3259 uva 558 Wormholes(bellman最短路负权回路判断)

poj 3259: 题意:John的农场里n块地,m条路连接两块地,w个虫洞,虫洞是一条单向路,不但会把你传送到目的地,而且时间会倒退Ts。 任务是求你会不会在从某块地出发后又回来,看到了离开之前的自己。 判断树中是否存在负权回路就ok了。 bellman代码: #include<stdio.h>const int MaxN = 501;//农场数const int