上传文件时,验证文件是否合法

最新推荐文章于 2024-12-24 15:33:33 发布
最新推荐文章于 2024-12-24 15:33:33 发布
阅读量740 收藏
点赞数 2
CC 4.0 BY-SA版权
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wshhcsdn/article/details/143331682

1、校验文件后缀名

2、校验文件的大小



import java.util.Arrays;
import java.util.List;

public interface FileVerifyRule {

    /**
     * 校验文件后缀名。
     * @param extension 文件后缀名
     * @return true:允许;false:不允许
     */
    default boolean checkExtension(String extension) {
        List<String> extensions = getExtensions();
        if (extensions == null || extensions.isEmpty()) return true;
        return extensions.stream().anyMatch(extension::equalsIgnoreCase);
    }

    default List<String> getExtensions() { return null; }
    /**
     * 校验文件大小。
     * @param size 文件大小,单位:字节
     * @return true:允许;false:不允许
     */
    default boolean checkSize(long size) { return true; }
}

3、校验文件内容

4、校验pdf文件是否包含脚本



import cn.hutool.core.io.FileUtil;
import lombok.extern.slf4j.Slf4j;
import org.apache.pdfbox.pdmodel.PDDocument;
import org.apache.pdfbox.pdmodel.common.PDDestinationOrAction;
import org.apache.pdfbox.pdmodel.interactive.action.PDActionJavaScript;
import org.apache.pdfbox.text.PDFTextStripperByArea;
import org.apache.pdfbox.text.TextPosition;
import org.apache.tika.Tika;
import org.apache.tika.metadata.Metadata;
import org.apache.tika.mime.MimeType;
import org.apache.tika.mime.MimeTypes;
import org.apache.tika.parser.AutoDetectParser;
import org.apache.tika.parser.ParseContext;
import org.apache.tika.parser.Parser;
import org.apache.tika.sax.BodyContentHandler;
import org.owasp.validator.html.AntiSamy;
import org.owasp.validator.html.CleanResults;
import org.owasp.validator.html.Policy;
import org.springframework.stereotype.Component;
import org.springframework.web.multipart.MultipartFile;
import org.xml.sax.ContentHandler;

import java.awt.geom.Rectangle2D;
import java.io.IOException;
import java.io.InputStream;
import java.net.URL;
import java.util.List;

import static org.apache.tika.metadata.TikaCoreProperties.RESOURCE_NAME_KEY;

/**
 * 文件上传时,验证文件是否合法。
 */
@Slf4j
@Component
public class FileVerifyService {
    private final Tika tika = new Tika();
    private final FileVerifyRule rule = new FileVerifyRule() {
    };

    /**
     * 验证文件是否合法。满足整个项目的合法性。
     *
     * @param file 文件
     * @return true:合法;false:不合法
     */
    public boolean verify(MultipartFile file) {
        return verify(file, rule);
    }

    /**
     * 验证文件是否合法。传递校验规则以适用不同的业务场景,否则就需要满足整个项目的合法性。
     *
     * @param file 文件
     * @param rule 校验规则
     * @return true:合法;false:不合法
     */
    public boolean verify(MultipartFile file, FileVerifyRule rule) {
        if (file == null || file.isEmpty()) return false;
        if (rule == null) rule = this.rule;
        // 校验文件大小
        if (!rule.checkSize(file.getSize())) return false;
        // 获取文件的后缀名,并校验文件后缀
        if(!rule.checkExtension(FileUtil.getSuffix(file.getOriginalFilename()))) return false;
        // 校验文件类型
        return checkExtension(file, rule);
    }

    /**
     * 校验文件类型
     * @param file 文件
     * @param rule 规则
     * @return true:合法;false:不合法
     */
    private boolean checkExtension(MultipartFile file, FileVerifyRule rule) {
        try {
            String contentType = tika.detect(file.getInputStream());
//            log.info("ContentType: {}", contentType); // image/svg+xml
            // 获取tika提供的默认参照表
            // 可以进行自定义,参照https://stackoverflow.com/questions/13650372/how-to-determine-appropriate-file-extension-from-mime-type-in-java
            MimeTypes allTypes = MimeTypes.getDefaultMimeTypes();
            // 根据MimeType名称获取MimeType类型
            MimeType mimeType = allTypes.forName(contentType);
//            log.info("MimeType: {}", contentType); // image/svg+xml
            // 根据MimeType类型获取对应的后缀名
            String extension = getExtension(mimeType);
            String content = getContent(file);
            log.info("mime extension: {} {}", mimeType, extension); // .svg
            if(!rule.checkExtension(extension)) return false;
            if(!checkContent(content)) return false;
            //检查pdf是否含有脚本
            if("pdf".equals(extension)){
                return checkPDFScript(file);
            }

            return true;
        } catch (Exception e) {
            log.error("file verify error: {}", e.getMessage());
            return false;
        }
    }
    private  String getExtension(MimeType mimeType) {
        String extra= mimeType.getExtension();
        return extra.startsWith(".") ? extra.substring(1) : extra;
    }

    public  boolean checkContent(String inputHtml)  {
        // 加载Antisamy策略文件
        try {
            URL url = getClass().getResource("/antisamy-tinymce.xml");
            Policy policy = Policy.getInstance(url);
            AntiSamy as = new AntiSamy();

            // 清理HTML内容
            CleanResults cr = as.scan(inputHtml, policy);

            // 如果存在错误,则返回清理后的内容
            if (cr.getErrorMessages().size() > 0) {
                log.error("file verify error: {}", cr.getErrorMessages());
                return false;
            }

            // 返回经过策略验证的HTML内容
            //return cr.getCleanHTML();
        } catch (Exception e) {
            log.error("file verify error: {}", e.getMessage());
        }
        return true;
    }

    public String getContent(MultipartFile file) throws Exception {
        InputStream inputStream = file.getInputStream();
        try {
            Parser parser = new AutoDetectParser();
            ContentHandler handler = new BodyContentHandler();
            Metadata metadata = new Metadata();
            metadata.set(RESOURCE_NAME_KEY, file.getOriginalFilename());
            parser.parse(inputStream, handler, metadata, new ParseContext());

            String text = handler.toString();
            return text;
        }finally {
            inputStream.close();
        }
    }
    //检查pdf文件是否有脚本
    private boolean checkPDFScript(MultipartFile file) throws IOException {
        try (PDDocument document = PDDocument.load(file.getInputStream())) {
            if (!document.isEncrypted()) {
                PDDestinationOrAction javascript = document.getDocumentCatalog().getOpenAction();
                if (javascript != null) {
                    if(javascript instanceof PDActionJavaScript) {
                        return false;
                    }
                    String js = javascript.toString();
                    log.info("JavaScript: " + js);
                } else {
                    log.info("No JavaScript found.");
                }
                PDFTextStripperByArea stripper = new PDFTextStripperByArea() {
                    @Override
                    protected void writeString(String str, List<TextPosition> textPositions) {
                        for (TextPosition position : textPositions) {
                            if (position.getUnicode().contains("script")) {
                                log.info("脚本: {}", position.getUnicode());
                            } else {
                                System.out.print(position.getUnicode());
                            }
                        }
                    }
                };

                stripper.addRegion("script", new Rectangle2D.Double(0, 0, 10000, 10000));
                log.info("页数: {}", document.getPages().getCount());
                stripper.extractRegions(document.getPage(0));
            } else {
                log.info("已加密");
            }
        }
        return true;
    }

}

<dependency>
  <groupId>org.owasp.antisamy</groupId>
  <artifactId>antisamy</artifactId>
  <version>1.7.6</version>
</dependency>

wshhcsdn
关注
JAVA文件类型的校验
boaifeng的专栏
10-26 9099
<br />通常,在WEB系统中,上传文件都需要做文件的类型校验,大致有如下几种方法:<br />1. 通过后缀名,如exe,jpg,bmp,rar,zip等等。<br />2. 通过读取文件,获取文件的Content-type来判断。<br />3. 通过读取文件流,根据文件流中特定的一些字节标识来区分不同类型的文件。<br />4. 若是图片,则通过缩放来判断,可以缩放的为图片,不可以的则不是。<br />然而,在安全性较高的业务场景中,1,2两种方法的校验会被轻易绕过。<br />1. 伪造后缀名,
php实现文件上传基本验证
10-15
为了更安全,你还需要考虑其他因素,如防止文件覆盖、验证文件内容(例如,检查图片是否真的为图片)、限制文件类型的严格性(可能使用MIME类型验证而非扩展名),以及考虑文件上传的权限和安全性问题。 总之,PHP...
js 上传文件校验文件类型和大小
04-27
js 上传图片 校验 文件类型 大小js 上传图片 校验 文件类型 大小js 上传图片 校验 文件类型 大小 js 上传文件校验 js 上传文件校验 js 上传文件校验
Java 判断上传文件格式是否是有效的
yanziit的博客
09-13 4549
/** * 判断文件格式是否是有效的 * * @return true : 有效 false :文件格式错误 */ public boolean checkFileIsValid(MultipartFile file) { String fileName = file.getOriginalFilename();// 文件名 String fileExtension
python检验文件名称是否合法
Rvelamen的博客
12-10 1297
库提供了多个函数,用于处理文件名和路径字符串,确保它们合法有效。
用正则验证文件是否合法
漂流瓶の海岸
02-02 3497
我以前都是用 File 类的 createNewFile() 方法.当然,这个方法的确很管用.但当要批量验证,总不能一个个创建文件吧. 于是想到了正则, 正则匹配的开销比创建文件小了不知道多少倍. Google了一下Win平台的文件名规则,实践了一下. 那么一个合法文件(Win下)应该符合如下规则 . 文件名不能为空,空在这里有两个意思 文件名(包括扩展名)长度为0
判断上传文件合法
weixin_45502734的博客
04-25 1035
文件名后缀方式,判断上传文件合法
java的string常用方法_java中String类的常用方法
weixin_42620202的博客
02-12 186
public class HelloWorld {public static void main(String[] args) {// Java文件名String fileName = "HelloWorld.java";// 邮箱String email = "laurenyang@imooc.com";// 判断.java文件是否正确:合法文件名应该以.java结尾/*参考步骤:1、获取文...
关于上传文件格式验证
蜗牛学院重庆校区的博客
07-19 1281
对于开发Javaweb项目来说,经常会有让用户通过浏览器上传文件的需求,比如上传用户头像(jpg格式)。那么像这样的功能我们通常的实现方式都是在前端页面先验证文件的后缀名是否是jpg格式,通过验证之后,再进行上传请求操作,接下来服务器端接受文件之后,再一次验证文件后缀名是否jpg,之后再讲文件保存到指定文件夹,具体代码如下: <script type="text/javascript" src="js/jquery-1.11.3.js"></script> <script .
js判断上传文件后缀名是否合法
10-22
本文将详细解读如何利用JavaScript语言来判断上传文件后缀名是否合法。 首先,我们需要了解文件的后缀名是什么。一个文件的后缀名位于文件名的最后,通常用来标识文件的类型。例如,在文件名 "example.jpg" 中,"....
文件上传验证大小类型)
05-13
java实现各种文件上传验证大小,文件类型是否规范
java实现上传文件类型检测过程解析
08-25
主要介绍了java实现上传文件类型检测过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
java socket 传输文件做和校验,校验位
03-10
java socket在传输文件,分包、组包和校验。 校验包数据,现成的代码可以拷贝直接运行。
uploadify上传及后台文件合法验证的代码解析
10-21
本文重点解析了使用uploadify进行文件上传到服务器的过程中,后台如何进行文件合法验证提供了相应的Java代码示例。主要包括后台上传方法的实现、文件合法验证类的构建以及前端上传JavaScript的实现。 首先...
ajax文件上传带进度条,带判断上传文件是否合法
05-05
3. **文件验证函数** `validateFile` 这个函数可以检查文件的类型和大小,确保上传文件合法的。例如,只接受图像文件且大小不超过5MB。 ```javascript function validateFile(file) { const allowedTypes = ...
java判断输入的文件路径格式是否合法
weixin_40373236的博客
07-26 345
Java判断输入的文件路径格式是否合法 作为一名刚入行的开发者,你可能会遇到需要判断文件路径格式是否合法的情况。在Java中,这可以通过多种方式实现。本文将通过一个简单的示例,教你如何使用Java标准库中的java.nio.file.Paths和java.nio.file.Path类来实现这一功能。 流程图 首先,我们用流...
vue 文件上传 读取文件数据进行格式校验
最新发布
一只小孙鼠的博客
12-24 1326
代码实现了一个完整的文件上传功能,包含了文件类型检查、内容校验和上传请求。通过这些方法,确保用户上传文件符合预期的格式和内容要求,从而提高了数据的准确性和可靠性。
[文件上传工具类] MultipartFile 统一校验
pingzhuyan的博客
01-30 5313
[文件上传工具类] MultipartFile 统一校验。 功能包含: -> 1. 多文件上传校验 -> 2. 文件名字校验(特殊符号) -> 3. 文件后缀校验
校验上传图片真实格式、伪后缀校验、文件魔术校验
g56467467464的博客
07-28 426
校验上传图片真实格式、伪后缀校验、文件魔术校验
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值