SpringBoot后端上传文件类型检测方式
作者:牟云飞 发布时间:2021-07-02 05:00:04
标签:SpringBoot,后端,上传文件,检测
文件上传大部分通过web前端判断后尾名或者service后端判断后尾名,这种操作具有一定的风险,比如:我可以将一个jsp页面,修改后尾名改成jpg文件进行上传,由于图片预览功能,这个文件会被执行,这时就可以发送用户数据到指定的服务下,窃取用户信息。
本文通过文件流头部判断文件类型
不同的文件具有不同的头部,比如:
不同的文件具有不同的头部信息,以SpringBoot为例,通过 * 拦截文件流进行判断:
1、添加配置文件checkFileHeader.properties
在src/main/resources中增加配置文件checkFileHeader.properties,文件内容:
JPEG=FFD8FF
PNG=89504E47
GIF=47494638
TXT=75736167
PDF=255044462D312E
DOC=D0CF11E0
XML=3C3F786D6C
DOCX=504B0304
APK=504B030414000808
IPA=504B03040A000000
2、编写读取properties文件类
读取checkFileHeader.properties文件内容,用于 * 判断
/**
* 读取文件流头信息
* @author hanjie
*
*/
public class FileHeaderHelper {
private static FileHeaderHelper me ;
private static List<String> headerList ;
private FileHeaderHelper(){}
public static FileHeaderHelper getInstance(){
if(me == null){
me = new FileHeaderHelper() ;
}
return me ;
}
public List<String> getHeaderList(){
if(headerList == null){
headerList = new ArrayList<String>() ;
PathMatchingResourcePatternResolver resolver = new PathMatchingResourcePatternResolver();
String classpathResource = ResourcePatternResolver.CLASSPATH_ALL_URL_PREFIX + "/fileheader.properties";
Properties p = new Properties();
try {
Resource[] res = resolver.getResources(classpathResource) ;
for (Resource re : res) {
p.load(re.getInputStream());
break ;
}
} catch (IOException e) {
e.printStackTrace();
}
for (Map.Entry<Object, Object> item : p.entrySet()) {
headerList.add(item.getValue().toString()) ;
}
}
return headerList ;
}
}
3、编写 *
拦截去中,获取文件流,读取文件流前8个字节,根据需要可以读取更多字节判读,8个字节转成16进制为16个字符串,我这里最长的APK/IPA文件也就16个字节,所以读取8个字节,读取字节后判断是否checkFileHeader.properties文件中字符串
/**
* 文件上传 *
* @author hanjie
*
*/
public class FileHeaderCheckInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request,
HttpServletResponse response, Object handler) throws Exception {
// 判断是否为文件上传请求
if (request != null && request instanceof MultipartHttpServletRequest) {
MultipartHttpServletRequest multipartRequest = (MultipartHttpServletRequest) request;
Map<String, MultipartFile> files = multipartRequest.getFileMap();
Iterator<String> iterator = files.keySet().iterator();
while (iterator.hasNext()) {
String formKey = (String) iterator.next();
MultipartFile multipartFile = multipartRequest.getFile(formKey);
//String filename = multipartFile.getOriginalFilename();
byte[] file = multipartFile.getBytes() ;
获取字节流前8字节,差不多够了,不行再加
int HEADER_LENGTH = 8 ;
if(file.length>HEADER_LENGTH){
//转成16进制
StringBuilder sb = new StringBuilder();
for(int i=0;i<HEADER_LENGTH;i++){
int v = file[i] & 0xFF;
String hv = Integer.toHexString(v);
if (hv.length() < 2) {
sb.append(0);
}
sb.append(hv);
}
boolean isFound = false ;
String fileHead = sb.toString().toUpperCase() ;
List<String> headerList = FileHeaderHelper.getInstance().getHeaderList() ;
for(String header : headerList){
if(fileHead.startsWith(header)){
isFound = true ;
break ;
}
}
if(!isFound){
// throw new BaseRunException("上传文件有异常,已被系统禁止!") ;
System.out.println("----------上传文件有异常,已被系统禁止!头部信息:"+fileHead);
response.setCharacterEncoding("UTF-8");
response.setContentType("application/json;charset=utf-8");
PrintWriter printWriter = response.getWriter();
printWriter.write("上传文件有异常,已被系统禁止!");
return false;
}
}
}
}
return true;
}
@Override
public void postHandle(HttpServletRequest request,
HttpServletResponse response, Object handler,
ModelAndView modelAndView) throws Exception {
// TODO Auto-generated method stub
}
@Override
public void afterCompletion(HttpServletRequest request,
HttpServletResponse response, Object handler, Exception ex)
throws Exception {
// TODO Auto-generated method stub
}
}
4、配置拦截文件
* 写完了,配置下让它生效,在Configuration中配置 * ,拦截文件流进行判断
@Configuration
public class MyfWebAppConfiguration extends WebMvcConfigurerAdapter {
// * ,拦截文件流
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(new FileHeaderCheckInterceptor())
.addPathPatterns("/**");
}
// //注册过滤
// @Bean
// public FilterRegistrationBean myFilterRegistration() {
//
// FilterRegistrationBean registration = new FilterRegistrationBean();
// registration.setFilter(new LoginFilter());
// registration.addUrlPatterns("/serviceInvoke");
// //registration.addInitParameter("paramName", "paramValue");
// registration.setName("loginFilter");
// registration.setOrder(1);
// return registration;
// }
//
//
// //注册servlet
// @Bean
// public ServletRegistrationBean myServletRegistration() {
// ServletRegistrationBean registration = new ServletRegistrationBean(new DownloadServlet());
// registration.addUrlMappings("/download");
// return registration;
// }
}
页面消息提醒已经在printWriter中输出了,根据自己的页面编写显示吧。
来源:https://muyunfei.blog.csdn.net/article/details/90230481
![](https://www.aspxhome.com/images/zang.png)
![](https://www.aspxhome.com/images/jiucuo.png)
猜你喜欢
- 本篇介绍在SpringBoot中配置Email服务的具体步骤,以及常见的异常分析。 具体案例以QQ邮箱以及QQ企业邮箱为例。QQ邮箱发送方式
- @Conditional的使用@Conditional可以根据条件来判断是否注入某些Bean。package com.morris.spri
- Jenkins是一个开源软件项目,旨在提供一个开放易用的软件平台,使软件的持续集成变成可能Jenkins是基于Java开发的一种持续集成工具
- java 闰年判断前言:给定一个年份,判断这一年是不是闰年。当以下情况之一满足时,这一年是闰年:1. 年份是4的倍数而不是100的倍数;2.
- 本文实例讲述了Java基于Tcp的基础聊天功能。分享给大家供大家参考,具体如下:最基础的聊天,用户端和服务器端每次说一句,而且严格规定了先后
- java 读取本地文件实例详解用javax.xml、w3c解析实例代码:package cn.com.xinli.monitor.utils
- 有时候编译器、处理器的优化会导致runtime与我们设想的不一样,为此Java对编译器和处理器做了一些限制,JAVA内存模型(JMM)将这些
- @SpringBootApplication的使用1. Spring Boot 的核心1.1. 入口类和 @SpringBootApplic
- 本文为大家分享了java摄像头截图的具体代码,供大家参考,具体内容如下本来sun有个jmf组件可以很方便的实现摄像头截图的,不过这版本后来停
- 记录一下使用IDEA创建servlet并使用Tomcat本地部署的过程。需要安装好的软件首先IDEA社区版不支持Java EE,因此要使用U
- 0.前言HashMap简述:HashMap 基于哈希表的 Map 接口实现,是以 key-value 存储形式存在,即主要用来存放键值对。H
- 在基于UI元素的自动化测试中, 无论是桌面的UI自动化测试,还是Web的UI自动化测试. 首先我们需要查找和识别UI
- 前言java 10 引进一种新的闪闪发光的特性叫做局部变量类型推断。听起来很高大上吧?它是什么呢? 下面的两个情景是我们作为 Java 开发
- 在使用springMVC框架构建web应用,客户端常会请求字符串、整型、json等格式的数据,通常使用@ResponseBody注解使 co
- 本文实例讲述了Java单例模式下的MongoDB数据库操作工具类。分享给大家供大家参考,具体如下:我经常对MongoDB进行一些基础操作,将
- Java.util.Collections类下有一个静态的shuffle()方法,如下:1)static void shuffle(List
- 1.特殊数组的特征值题目描述思路详解看到本题,首先思考需要排序,然后查找,这里为了效率采用二分查找。假设定义x=(left+riht)/ 2
- 前言 短时间提升自己最快的手段就是背面试题,最近总结了Java常用的面试题,分享给大家,希望大家都能圆梦大厂,加油,我命由我不由天
- 使用poi生成excel通常包含一下几个步骤创建一个工作簿创建一个sheet创建一个Row对象创建一个cell对象(1个row+1个cell
- 前言本文主要给大家介绍了关于Java读取二进制文件的相关内容,分享出来供大家参考学习,下面话不多说了,来一起看看详细的介绍吧。读Hex写CS