Java校验图片是否被篡改文件类型

Java校验图片文件类型方法
原创 于 2025-08-25 10:48:05 发布 · 301 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #开发语言

在Java中校验图片是否被篡改文件类型(即文件实际内容与扩展名是否匹配),主要有以下几种方法:

1. 使用魔数(Magic Number)检测

每种图片格式都有特定的文件头签名(魔数),可以通过读取文件头部字节进行验证:

import java.io.FileInputStream;
import java.io.IOException;
import java.util.HashMap;
import java.util.Map;

public class ImageValidator {
    
    // 常见图片格式的魔数字典
    private static final Map<String, String> MAGIC_NUMBERS = new HashMap<>();
    
    static {
        MAGIC_NUMBERS.put("FFD8FF", "jpg");
        MAGIC_NUMBERS.put("89504E47", "png");
        MAGIC_NUMBERS.put("47494638", "gif");
        MAGIC_NUMBERS.put("424D", "bmp");
        MAGIC_NUMBERS.put("52494646", "webp"); // WEBP: RIFF
        MAGIC_NUMBERS.put("49492A00", "tiff");
        MAGIC_NUMBERS.put("4D4D002A", "tiff");
    }
    
    /**
     * 通过魔数验证文件真实类型
     */
    public static String getRealFileType(byte[] fileBytes) {
        if (fileBytes == null || fileBytes.length < 4) {
            return "unknown";
        }
        
        // 读取前4个字节并转换为十六进制
        StringBuilder hexBuilder = new StringBuilder();
        for (int i = 0; i < Math.min(4, fileBytes.length); i++) {
            hexBuilder.append(String.format("%02X", fileBytes[i]));
        }
        String fileHeader = hexBuilder.toString();
        
        // 检查匹配的魔数
        for (Map.Entry<String, String> entry : MAGIC_NUMBERS.entrySet()) {
            if (fileHeader.startsWith(entry.getKey())) {
                return entry.getValue();
            }
        }
        
        return "unknown";
    }
    
    /**
     * 验证文件扩展名是否与真实类型匹配
     */
    public static boolean validateImageFile(String filePath) throws IOException {
        try (FileInputStream fis = new FileInputStream(filePath)) {
            byte[] header = new byte[8];
            int read = fis.read(header);
            
            if (read < 4) {
                return false;
            }
            
            String realType = getRealFileType(header);
            String extension = getFileExtension(filePath).toLowerCase();
            
            return realType.equalsIgnoreCase(extension);
        }
    }
    
    private static String getFileExtension(String filename) {
        int dotIndex = filename.lastIndexOf('.');
        if (dotIndex > 0 && dotIndex < filename.length() - 1) {
            return filename.substring(dotIndex + 1);
        }
        return "";
    }
    
    // 使用示例
    public static void main(String[] args) {
        try {
            String filePath = "example.jpg";
            boolean isValid = validateImageFile(filePath);
            
            if (isValid) {
                System.out.println("文件类型验证通过");
            } else {
                System.out.println("警告:文件可能被篡改!");
            }
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

2. 使用Apache Tika库

Apache Tika是一个内容检测和分析工具包,可以更准确地检测文件类型:

import org.apache.tika.Tika;
import org.apache.tika.mime.MediaType;
import java.io.File;
import java.io.IOException;

public class TikaImageValidator {
    
    private static final Tika tika = new Tika();
    
    /**
     * 使用Tika检测文件真实类型
     */
    public static boolean validateWithTika(String filePath) throws IOException {
        File file = new File(filePath);
        
        // 检测真实MIME类型
        String detectedType = tika.detect(file);
        String extension = getFileExtension(filePath);
        
        // 将扩展名映射为MIME类型进行比较
        String expectedMimeType = getMimeTypeFromExtension(extension);
        
        return detectedType.equalsIgnoreCase(expectedMimeType);
    }
    
    private static String getMimeTypeFromExtension(String extension) {
        switch (extension.toLowerCase()) {
            case "jpg":
            case "jpeg":
                return "image/jpeg";
            case "png":
                return "image/png";
            case "gif":
                return "image/gif";
            case "bmp":
                return "image/bmp";
            case "webp":
                return "image/webp";
            case "tiff":
            case "tif":
                return "image/tiff";
            default:
                return "application/octet-stream";
        }
    }
    
    // 其他辅助方法同上
}

3. 完整的验证工具类

import java.io.File;
import java.io.FileInputStream;
import java.io.IOException;
import java.util.Arrays;
import java.util.HashMap;
import java.util.Map;

public class ComprehensiveImageValidator {
    
    private static final Map<String, String[]> MAGIC_NUMBERS = new HashMap<>();
    
    static {
        MAGIC_NUMBERS.put("jpg", new String[]{"FFD8FF"});
        MAGIC_NUMBERS.put("jpeg", new String[]{"FFD8FF"});
        MAGIC_NUMBERS.put("png", new String[]{"89504E47"});
        MAGIC_NUMBERS.put("gif", new String[]{"47494638"});
        MAGIC_NUMBERS.put("bmp", new String[]{"424D"});
        MAGIC_NUMBERS.put("webp", new String[]{"52494646"}); // RIFF header
        MAGIC_NUMBERS.put("tiff", new String[]{"49492A00", "4D4D002A"});
    }
    
    /**
     * 综合验证方法
     */
    public static ValidationResult validateImage(String filePath) throws IOException {
        File file = new File(filePath);
        String extension = getFileExtension(filePath).toLowerCase();
        
        // 读取文件头
        byte[] header = readFileHeader(file, 8);
        String realType = detectRealType(header);
        
        ValidationResult result = new ValidationResult();
        result.setFileName(file.getName());
        result.setDeclaredExtension(extension);
        result.setRealType(realType);
        result.setValid(realType.equalsIgnoreCase(extension));
        
        return result;
    }
    
    private static byte[] readFileHeader(File file, int length) throws IOException {
        try (FileInputStream fis = new FileInputStream(file)) {
            byte[] header = new byte[length];
            int read = fis.read(header);
            return Arrays.copyOf(header, read);
        }
    }
    
    private static String detectRealType(byte[] header) {
        if (header.length < 4) return "unknown";
        
        StringBuilder hexBuilder = new StringBuilder();
        for (int i = 0; i < Math.min(8, header.length); i++) {
            hexBuilder.append(String.format("%02X", header[i]));
        }
        String fileHeader = hexBuilder.toString();
        
        for (Map.Entry<String, String[]> entry : MAGIC_NUMBERS.entrySet()) {
            for (String magic : entry.getValue()) {
                if (fileHeader.startsWith(magic)) {
                    return entry.getKey();
                }
            }
        }
        
        return "unknown";
    }
    
    public static class ValidationResult {
        private String fileName;
        private String declaredExtension;
        private String realType;
        private boolean isValid;
        
        // getters and setters
        public boolean isValid() { return isValid; }
        public String getRealType() { return realType; }
        // ... 其他getter/setter
    }
    
    private static String getFileExtension(String filename) {
        int dotIndex = filename.lastIndexOf('.');
        return (dotIndex == -1) ? "" : filename.substring(dotIndex + 1);
    }
}

使用建议

  1. 魔数检测:简单快速,适合基本验证

  2. Apache Tika:更准确,支持更多文件类型,但需要额外依赖

  3. 组合使用:可以先进行魔数快速检测,失败时再使用Tika进行深度检测

  4. 安全性:对于安全敏感场景,建议结合文件大小、尺寸等额外验证

使用上面的两种方式可以有效检测常见的图片文件类型篡改,如将可执行文件重命名为图片扩展名等安全威胁。

Java防止文件篡改之文件校验
JavaBuilt的博客
03-16 8989
Java防止文件被篡改之文件校验和 转载:请注明出处,谢谢! 1.为什么要防止文件被篡改? 答案是显然的,为了保证版权,系统安全性等。之前公司开发一个系统,技术核心是一个科学院院士的研究成果,作为一款商业软件来说,保证公司及作者版权是非常重要的。系统安全性就更不用说了,系统两三下就被搞垮了,那这个系统就不算是一个合格的系统。 2.文件校验和作用 我们都知道,一个系统...
java完整性校验解决方案
06-23
总之,Java 中的数据完整性验证通过哈希算法实现,如MD5,它可以有效地检测文件是否在传输过程中被修改。在实际应用中,为了提高安全性,应考虑使用更强大的哈希算法,同时结合SSL/TLS等加密技术,确保数据在传输...
Java验证图片格式
口水多,翻书快
02-09 1978
图片的格式是通过魔数来表示的,而不是后缀名。 本文讲解了如何使用Java代码获取正确的图片格式。
Java判断上传图片格式的实例代码
08-25
主要介绍了Java判断上传图片格式的实例代码,在文中给大家提到了Java使用文件头的类型判断上传的文件是否图片类型,需要的朋友可以参考下
Java实现的获取和判断文件头信息工具类用法示例
08-28
主要介绍了Java实现的获取和判断文件头信息工具类,结合实例形式分析了Java针对文件读取及头信息判断相关操作技巧,需要的朋友可以参考下
java判断 图片_Java判断图片格式的代码详解
weixin_34223354的博客
02-16 552
import java.io.File;import java.io.IOException;import java.util.Iterator;import javax.imageio.ImageIO;import javax.imageio.ImageReader;import javax.imageio.stream.ImageInputStream;public class ImageDe...
判断图片类型 java_Java 读取图片文件的类型(MimeType)
weixin_31787839的博客
02-12 1305
一、问题描述在项目开发的时候,我们经常会遇到一类文件上传的问题,就是获取图片是哪种格式。很多情况下,很多人都是用后缀名去判断,如下所示。if(filename.endsWith(".png") || filename.endsWith(".jpg")){//保存图片}else{throw new IOException("Error file format !");}但是这种方式相当不可靠,我们可...
Java防止文件被篡改之文件校验功能的实例代码
08-26
文件校验和是一种通过算法计算文件内容的唯一值(通常使用MD5哈希算法生成),并以此来检测文件是否被改变的方法。由于MD5算法的特性,即使是微小的文件变动也会导致校验和完全不同的结果,因此成为了文件完整性校验...
java实现的图片篡改功能
09-03
在这个项目中,我们主要探讨如何利用Java实现图片的防篡改功能,通过生成图片的唯一标识(哈希值)并进行比对来检测图片是否篡改。 1. **哈希算法**: 哈希(Hash)函数是一种将任意长度的数据映射为固定长度...
java通过文件头内容判断文件类型
04-22
这是因为有些文件可能没有明确的扩展名,或者扩展名被恶意篡改。文件头内容通常包含特定的标识符,这些标识符是文件格式的特征,可以用来确定文件的类型。本篇文章将深入探讨如何在Java中通过文件头内容来判断文件...
java后台验证附件格式
05-20
这个java文件就差不多文档类的.图片、音频、视频等格式验证,主要是读取文档编码前面的格式验证
java 图片类型判断
qq_35491812的博客
05-08 6504
方法一:根据图片url中的携带的ContentType信息判断图片的类型,如果图片被强制修改了图片的类型会有问题 /** * 根据url中ContentType判断问价格式 * @param imgUrl * @return */ public static String getImageType(String imgUrl) { BufferedInputStream bis...
Java对上传的图片进行格式校验以及安全性校验
热门推荐
太阳守护者Sunner的博客
12-18 2万+
文章目录前言判断上传的是否图片通过后缀名进行判断通过文件头通过ImageIO判断图片文件的安全检查处理给图片加水印 前言 在web开发中,肯定会有一些图片上传的功能,如果仅仅是通过页面端进行控制是远远不够的,完全可以直接调用后台的接口,将一些病毒文件上传到服务器,如果不进行校验,后果不堪设想! 判断上传的是否图片 通过后缀名进行判断 这层校验应该说是最基本的校验了,看下文件的后缀名是否符合要求...
Java判断图片格式
balsamspear的博客
12-11 497
public class ImageUtils { public static boolean isImage(File imageFile) { if (!imageFile.exists()) { return false; } try { Image img = ImageIO.read(imageFile); return img != null &amp...
java 图片格式校验_(转载)Java对上传的图片进行格式校验以及安全性校验
weixin_31049801的博客
02-16 2158
文章目录前言判断上传的是否图片通过后缀名进行判断通过文件头通过ImageIO判断图片文件的安全检查处理给图片加水印前言在web开发中,肯定会有一些图片上传的功能,如果仅仅是通过页面端进行控制是远远不够的,完全可以直接调用后台的接口,将一些病毒文件上传到服务器,如果不进行校验,后果不堪设想!判断上传的是否图片通过后缀名进行判断这层校验应该说是最基本的校验了,看下文件的后缀名是否符合要求的格式。S...
JAVA图片进行格式检查
Good_Luck_8的博客
06-29 1145
1)、判断文件的扩展名是否是要求的图片扩展名 不过这种方式非常的不妥,别人稍微的把一个不是图片的文件的扩展名修改为图片的扩展名,就绕开了你的这种校验, 2)、根据文件的前面几个字节 即常说的魔术数字进行判断 魔术数字,指定是文件的最开头的几个用于唯一区别其它文件类型的字节,有了这些魔术数字,我们就可以很方便的区别不同的文件 比如,一个JPEG文件,它开头的一些字节可能是类似这样的”ffd8
java 校验图片的大小,和比例尺寸
m0_53077601的博客
12-14 3350
一、file文件校验像素,比例,大小 import java.awt.image.BufferedImage; import java.io.File; import java.io.IOException; import javax.imageio.ImageIO; public class CheckImagesFormatUtil { /** * 图片的像素判断 * @param file 文件 * @param imageWidth 图片宽度 * @param ima
java 图片格式判断_Java判断文件是否图片
weixin_39838758的博客
02-16 2724
在上传图片文件的时候除了需要限制文件的大小,通常还需要对文件类型进行判断。因为用户可能会上传任何东西上来,如果被有心人上传木马到你服务器那就麻烦了。Java检查文件类型的方法判断文件后缀名String extension = "";int i = fileName.lastIndexOf('.');if (i > 0) {extension = fileName.substring(i+1)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值