通过后缀名和MIME-TYPE检查实现文件类型校验

前言

文件上传是一个在开发中很常见的需求场景,通常出于安全考虑,我们会对上传的文件进行类型校验,其中常见的有后缀名校验,mime-type校验

话不多说,直接上代码

1.首先定义允许上传的文件类型白名单

private static final String[] suffixWhiteList = {"PNG","JPEG","JPG","GIF"};
private static final String[] mimeTypeWhiteList = {"image/jpeg","image/gif","image/png"};

2.后缀名校验

    /**
     * 文件后缀名校验
     *
     * @param fileName
     *            文件名称
     * @return
     */
    public static boolean suffixCheck(String fileName) {
        if(fileName == null || "".equals(fileName)){
            return false;
        }
        //从最后一个点之后截取字符串
        String suffix = fileName.substring(fileName.lastIndexOf(".") + 1);
        //白名单匹配
        boolean anyMatch = Arrays.stream(suffixWhiteList).anyMatch(x -> x.equalsIgnoreCase(suffix));
        return anyMatch;
    }

3.mime-type校验,因为需要获取文件的mimeType,我引入了第三方的jar包(其他同样功能的jar包都可以)

    //MIME-TYPE工具包
    compile("net.sf.jmimemagic:jmimemagic:0.1.3")

    /**
     * MIMETYPE校验
     * @return
     */
    public static boolean mimeTypeCheck(MultipartFile uploadFile){
        if (uploadFile.isEmpty()){
            return false;
        }
        //文件名
        String fileName = uploadFile.getOriginalFilename();
        // 获取文件后缀
        String suffix=fileName.substring(fileName.lastIndexOf("."));
        File picFile = null;
        try {
            // 用uuid作为文件名,防止生成的临时文件重复
            picFile = File.createTempFile(UuidUtils.getUuid(), suffix);
            FileUtils.copyInputStreamToFile(uploadFile.getInputStream(),picFile);
            // MultipartFile to File
            MagicMatch match = Magic.getMagicMatch(picFile, false);
            String mimeType = match.getMimeType();
            // 白名单匹配
            boolean anyMatch = Arrays.stream(mimeTypeWhiteList).anyMatch(x -> x.equalsIgnoreCase(mimeType));
            return anyMatch;

        } catch (IOException e) {
            LOGGER.error("生成临时文件异常",e);
        } catch (Exception  e) {
            LOGGER.error("MIME-TYPE检查发生异常",e);
        } finally {
            //程序结束时,删除临时文件
            if (picFile.exists()){
                picFile.delete();
            }
        }
        return false;
    }
©著作权归作者所有,转载或内容合作请联系作者
【社区内容提示】社区部分内容疑似由AI辅助生成,浏览时请结合常识与多方信息审慎甄别。
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

相关阅读更多精彩内容

  • 文件上传漏洞
    文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直...
    付出从未后悔阅读 4,908评论 0 4
  • 文件上传漏洞 学习笔记
    什么是文件上传漏洞? 文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其...
    Smi1e_阅读 25,139评论 0 24
  • Struts2核心配置文件Struts2.xml的配置入门
    标签 如果要配置的标签,那么必须要先配置标签,代表的包的概念。 包含的属性 name包的名称,要求是唯一的,管理a...
    偷偷得路过阅读 5,278评论 0 0
  • Spring Cloud 常用属性文件配置总结
    在我搭建基于Spring Cloud的微服务体系应用的时候所需要或者是常用的属性配置文件,还有这些属性的用途,此配...
    StrongManAlone阅读 9,627评论 0 18
  • 肯定孩子20181216
    孩子们在客厅玩玩具搬家的游戏,哥哥不小心撞到了头哭了,我仔细检查头顶上的伤,虽然响动很大,倒是没有红肿。妹妹在一边...
    Selena_5b5g阅读 1,004评论 0 0

友情链接更多精彩内容