上传文件校验

最新推荐文章于 2024-05-28 10:37:33 发布
最新推荐文章于 2024-05-28 10:37:33 发布
阅读量1.1k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: java 文章标签: java php web.xml
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wangmuduxingxia2/article/details/84744509
本文探讨了防止用户上传病毒文件至服务器的校验方法,包括基础的文件后缀校验,确保上传文件的contentType与后缀匹配,以及针对图片上传的额外校验,以防止跨域攻击。通过ImageIO读取文件和添加水印等方式增强图片安全性。这些措施能有效提升上传文件的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

为了防止一些用户将一些病毒文件上传到服务器,我们一般需要对上传的文件做合法性校验, 当时有时候简单的后缀和contentType校验任然还有风险,下面我们一起来讨论一下上传的文件需要做哪些合法性校验。

 

1、文件后缀校验

这层校验应该说是最基本的校验了,我们不能允许用户上传一些exe、jsp、php、asp、html等可执行的文件。

 

2、contentType校验

contentType是内容类型,它会告诉浏览器用什么形式、什么编码来读取这个文件。因此文件后缀和contentType有一个对应关系,上传文件的后缀和contentType应该是对应的,如果不对应则上传信息已被篡改。后缀和contentType关系表参考tomcat下conf/web.xml中。

 

3、上传图片校验

如果需要上传的文件是图片,必须对上传的文件是否是一个图片进行检验,否则如果用户将一个html文件修改后缀为图片并上传,在显示该图片时就会执行html文件中的内容,带来跨域攻击风险。

 

图片校验方式

(1)、通过ImageIO读取文件,如果抛出异常或者读取后的对象为null,表示该文件不是图片

 

/**
	 * 通过读取文件信息判断文件是否是图片
	 * @param imageFile
	 * @return
	 */
	public static boolean checkImageFileByRead(File imageFile){
		try {
			BufferedImage image = ImageIO.read(imageFile);
			if(image == null){
				log.error("The file could not be opened , it is not an image");
				return false;
			}
		} catch (IOException e) {
			log.error(e.getMessage(), e);
			return false;
		}
		return true;
	}

 

(2)、通过ImageIO读取文件成图片流,如果抛出异常或者读取后的流对象为null,表示文件不是图片

/**
	 * 通过将文件转换为图片流方式监测文件是否为图片
	 * @param imageFile
	 * @return
	 */
	public static boolean checkImageFileByIS(File imageFile){
		try {
			ImageInp
最低0.47元/天 解锁文章

200万优质内容无限畅学
js 上传文件校验附件类型和限制上传类型
jieweiwujie的博客
05-31 768
js 上传文件校验附件类型和限制上传类型
ElementUI中使用el-upload上传文件校验不通过时触发on-remove事件
C_B_Y的博客
06-30 1965
问题描述 代码如下:
Java上传文件后缀格式的校验
起止洺的博客
05-09 1万+
web开发中,我们经常遇到一些上传文件的功能, 我们在对文件进行校验时,除了对文件大小进行校验外,还需要对文件的格式进行校验. 在对格式校验的时候要考虑到用户或者攻击者对文件后缀进行的改变,导致上传文件并不是我们需要的类型,从而对系统造成影响. 我们可以对常用的文件进行校验,如图片格式, 压缩格式,office word,Excel格式,以及其他文件的格式进行校验. 代码如下: import ...
文件上传校验upload---综合
weixin_45176415的博客
02-08 2182
文件上传之前进行文件校验 beforeUpload(file,UpFileList) // file:上传单个文件时候的文件内容,UpFileList:上传多个文件时的文件内容组成的数组 // 1、控制文件数量 if (this.fileList.length + UpFileList.length > 10) { this.$message.warning('超过文件上传数量限制') // 设置上传文件.
文件上传校验
Jean_yuanyuan的博客
05-24 260
文件上传校验文件类型和文件大小
优快云已弃用
10-15 5392
在JS中校验的方式: var filename = document.form_name.file.value; var patrn = /^.+\.(zip|rar)$/; //只允许后缀名为.zip或.rar的文件 if(!patrn.exec(filename)){ alert("请上传.zip或.rar文件!"); return false; }else{ var file...
通过后缀名和MIME-TYPE检查实现文件类型校验
b1356039的博客
03-25 1719
前言 文件上传是一个在开发中很常见的需求场景,通常出于安全考虑,我们会对上传文件进行类型校验,其中常见的有后缀名校验,mime-type校验 话不多说,直接上代码 1.首先定义允许上传文件类型白名单 private static final String[] suffixWhiteList = {"PNG","JPEG","JPG","GIF"}; private static fi...
java实现上传文件类型检测过程解析
08-25
Java 实现上传文件类型检测过程解析是指在进行文件上传时,对上传文件的格式进行控制,以防止黑客将病毒脚本上传。单纯的将文件名的类型进行截取的方式非常容易遭到破解,上传者只需要将病毒改换文件名便可以完成...
Springboot 文件上传安全校验
xiaojie_std的专栏
08-01 1411
应用中存在上传功能,但是上传文件没有经过严格的合法性检验或者检验函数存在缺陷,导致可以上传木马文件到服务器。文件上传漏洞危害极大因为可以直接上传恶意代码到服务器上,可能会造成服务器的网页篡改、网站被挂马、服务器被远程控制、被安装后门等严重的后果。log.error("获取文件头失败:{}", e.getMessage());log.info("文件头:{}", code);校验的方法主要有:后缀名校验文件校验,若为图片可加透明的水印【暂未实现】* @return 返回文件头。
文件上传验证
weixin_30364325的博客
08-15 469
文件上传的攻击方式 一、JS检测绕过 1、使用浏览器插件,删除检测文件后缀的js代码,然后上传文件即可绕过 2、先把需要上传文件后缀改成允许上传的格式,通过js校验,抓包把后缀名改为可执行文件的后缀上传实现绕过 二、文件后缀绕过 Apache的解析顺序是从右到左解析文件后缀的,如果最右侧的扩展名不可识别,继续往左判断,直到遇到可以解析的扩展名为止。 比如:xxx.xls.xxx...
js 上传文件校验文件类型和大小
04-27
js 上传图片 校验 文件类型 大小js 上传图片 校验 文件类型 大小js 上传图片 校验 文件类型 大小 js 上传文件校验 js 上传文件校验 js 上传文件校验
实战 - 文件上传功能:校验文件类型,文件大小,获取文件真实类型
热门推荐
你今天真好看呀
11-24 1万+
① 定义允许上传的附件类型: attachment: file: maxSize: 10 types: jpeg: FFD8FF jpg: FFD8FF bmp: 424D png: 89504E47 rtf: 7B5C727466 txt: 75736167 pdf: 255044462D312E doc: D0CF11E0 docx: 504B030414 ② 读取appli
文件上传、数据校验(后台)、拦截器
weixin_38169786的博客
09-04 580
目录 1. 文件上传 2.拦截器 3.数据校验(后台校验) 1. 文件上传 需要上传的jar包——fileploat 网页端 表单必须是post提交,编码必须是multipart/form-data 文件上传文本框必须起名 <form method="post" ...
SpringBoot项目文件上传校验(注解版)
刘大辉的博客
05-28 1149
要实现了一个文件上传和验证的功能,具有以下特点:1. 自定义注解:`FileValidation`注解用于标记需要进行文件验证的方法。2. 文件验证拦截器:`FileValidationInterceptor`拦截器会在每个请求处理之前被调用。如果请求处理的方法上有`FileValidation`注解,那么拦截器会获取请求中的文件,并进行验证。3. 文件验证:文件验证的逻辑在`FileValidationUtils`的`validateFile`方法中实现。这个方法会检查文件的MIME类型和文件扩展名是否
springMVC文件上传、拦截器、数据校验的综合运用(源码)
qq_44421796的博客
11-21 314
1.文件上传 2.拦截器 3.数据校验 4.restful风格 一、文件上传 上传到本地服务器下,数据库中存放的是图片的路径 1.导入相关jar包 commons-filterupload commons-io 2.网页端的要求 提交必须是post方式,编码必须是multipart/form-data,文件上传的文本框必须要有name <form action="user/upload" enctype="multipart/form-data" method="post"&
[文件上传工具类] MultipartFile 统一校验
pingzhuyan的博客
01-30 5400
[文件上传工具类] MultipartFile 统一校验。 功能包含: -> 1.文件上传校验 -> 2. 文件名字校验(特殊符号) -> 3. 文件后缀校验
校验上传图片真实格式、伪后缀校验文件魔术校验
g56467467464的博客
07-28 436
校验上传图片真实格式、伪后缀校验文件魔术校验
input 框上传多个文件以及做文件校验
weixin_66591252的博客
12-07 2204
input 框上传多个文件以及做文件校验
文件上传校验文件是否更改(文件是否可读)
张兴华的博客
03-30 940
文件上传之后(文件信息暂存在前端,还未上传到后端),如修改原文件名,然后点击上传,会导致上传失败。所以在上传到后端之前需要校验文件
elementui上传文件校验文件格式
最新发布
03-14
Element UI 提供了一个非常强大的组件库,其中 `el-upload` 组件用于文件上传功能。为了实现文件格式的校验,我们可以结合它的 `before-upload` 钩子函数来进行自定义验证。 --- ### 示例代码 ```vue <template> <div> <!-- el-upload 组件 --> <el-upload action="https://jsonplaceholder.typicode.com/posts/" :before-upload="handleBeforeUpload" multiple > <el-button type="primary">点击上传</el-button> </el-upload> </div> </template> <script> export default { methods: { handleBeforeUpload(file) { // 定义允许的文件类型 const allowedTypes = ["image/jpeg", "image/png"]; // 判断文件 MIME 类型是否符合要求 if (!allowedTypes.includes(file.type)) { this.$message.error("仅支持 JPEG 或 PNG 格式的图片!"); return false; // 返回false阻止继续上传流程 } // 还可以根据需要增加文件大小限制等其他校验逻辑 return true; // 允许上传 }, }, }; </script> ``` --- ### 功能解析 1. **`action`:** 表示文件提交的目标 URL 地址。 2. **`before-upload`:** 在上传之前会触发该钩子函数,返回值如果是 `true`,则正常上传;如果返回 `false`、Promise.reject() 或者抛出错误,则会中断上传过程。 3. **核心逻辑:** - 我们通过 `file.type` 获取到当前文件的实际 MIME 类型; - 将其预设的支持类型数组对比,如果不匹配就提示用户并终止上传。 4. **弹窗提醒:** Element Plus 内置了消息通知工具 `$message.error()` 来展示友好信息给用户知道哪里出了错。 --- ### 注意事项 - 虽然可以在前端完成初步检测,但永远不要忽略后端的安全性检查。前端很容易被绕过,因此服务端也应当再次核实所有接收到的数据无误后再保存至数据库或磁盘。 - 对于某些特殊需求如压缩包解压后的结构分析这类复杂任务更适合交给后台执行而非单纯依赖客户端脚本解决。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值