文件上传时,为了安全验证,对于手工改动文件后缀名产生的伪造文件进行判断过滤。我们可以根据文件头来判断该文件究竟是什么文件类型。
以下常见文件头类型(网查可靠待定)
JPEG (jpg),文件头:FFD8FF
PNG (png),文件头:89504E47
GIF (gif),文件头:
TIFF (tif),文件头:49492A00
Windows Bitmap (bmp),文件头:424D
CAD (dwg),文件头:
Adobe Photoshop (psd),文件头:
Rich Text Format (rtf),文件头:7B5C
XML (xml),文件头:3C3F786D6C
HTML (html),文件头:68746D6C3E
Email [thorough only] (eml),文件头:44656CDA
Outlook Express (dbx),文件头:CFAD12FEC5FD746F
Outlook (pst),文件头:E
MS Word/Excel (xls.or.doc),文件头:D0CF11E0
MS Access (mdb),文件头:EA
WordPerfect (wpd),文件头:FF
Postscript (eps.or.ps),文件头:D41646F6265
Adobe Acrobat (pdf),文件头:D312E
Quicken (qdf),文件头:AC9EBD8F
Windows Password (pwl),文件头:E
ZIP Archive (zip),文件头:504B0304
RAR Archive (rar),文件头:
Wave (wav),文件头:
AVI (avi),文件头:
Real Audio (ram),文件头:2E7261FD
Real Media (rm),文件头:2E524D46
MPEG (mpg),文件头:000001BA
MPEG (mpg),文件头:000001B3
Quicktime (mov),文件头:6D6F6F76
Windows Media (asf),文件头:3026B2758E66CF11
MIDI (mid),文件头:4D
判断逻辑待码(根据前4个字节判断)
package cn.cslp.dgs.util;
import java.io.File;
import java.io.FileInputStream;
import java.io.InputStream;
import java.util.HashMap;
import java.util.Map;
public class FileCheckUtil {
public final static Map<String, String> FILE_TYPE_MAP = new HashMap<String, String>();
// 可配置在外部配置文件中
public static void init() {
FILE_TYPE_MAP.put("jpg", "ffd8ffe0"); // JPEG (jpg)
FILE_TYPE_MAP.put("png", "89504e47"); // PNG (png)
FILE_TYPE_MAP.put("gif", "47494638"); // GIF (gif)
FILE_TYPE_MAP.put("html", "3c21444f"); // HTML (html)
FILE_TYPE_MAP.put("css", "48544d4c"); // css
FILE_TYPE_MAP.put("js", "696b2e71"); // js
FILE_TYPE_MAP.put("doc", "d0cf11e0"); // MS Excel 注意:word、msi 、 excel、Visio 绘图 的文件头一样
FILE_TYPE_MAP.put("pdf", "25504446"); // (pdf)
FILE_TYPE_MAP.put("zip", "504b0304");
FILE_TYPE_MAP.put("rar", "52617221");
FILE_TYPE_MAP.put("docx", "504b0304");// docx文件
}
static {
init();
}
private FileCheckUtil() {
}
/
* 启用
* 可配置在外部配置文件中
* @return
*/
private static boolean getStartUsing() {
return true;
}
/
* 校验type
*
* @param content
* @param fileName
* @return
*/
public static boolean checkFileType(byte[] content, String fileName) {
if (!getStartUsing()) {
return true;
}
if (null == fileName || fileName.equals("")) {
return false;
}
if (null == content || content.length <= 0) {
return false;
}
// 文件后缀
String suffix = fileName.substring(fileName.lastIndexOf(".") + 1);
String realCode = FILE_TYPE_MAP.get(suffix);
if (realCode == null || (realCode = realCode.trim()).length() == 0) {
// 没有配置校验的,直接通过
return true;
}
// 获取文件的前16个字节
String fileCode = getFileFrontCode(content, 16);
if (fileCode.toLowerCase().startsWith(realCode.toLowerCase())) {
// 匹配,通过
return true;
}
// 全都不匹配,校验不通过
return false;
}
/
* 将文件头转换成16进制字符串
*
* @param 原生byte
* @return 16进制字符串
*/
public static String bytesToHexString(byte[] src) {
StringBuilder stringBuilder = new StringBuilder();
if (src == null || src.length <= 0) {
return null;
}
for (int i = 0; i < src.length; i++) {
int v = src[i] & 0xFF;
String hv = Integer.toHexString(v);
if (hv.length() < 2) {
stringBuilder.append(0);
}
stringBuilder.append(hv);
}
return stringBuilder.toString();
}
/
* 文件头byte
*
* @param content
* @param num
* @return
*/
private static String getFileFrontCode(byte[] content, Integer num) {
Integer length = Math.min(content.length, num); // 防止copy出现越界
byte[] b = new byte[length];
System.arraycopy(content, 0, b, 0, b.length);
return bytesToHexString(b);
}
public static void main(String[] args) throws Exception {
String p = "D:\\temp\\logs\\pdf\\2.pdf";
byte[] b = new byte[20];
InputStream in = new FileInputStream(new File(p));
in.read(b, 0, 20);
String fileCode = bytesToHexString(b);
System.out.println("截取前:" + fileCode);
System.out.println(checkFileType(b, "2.pdf"));
}
}
今天的文章 文件后缀校验分享到此就结束了,感谢您的阅读。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
如需转载请保留出处:https://bianchenghao.cn/bian-cheng-ji-chu/97806.html