Java校验上传图片文件是否含有木马的两种方式

这两天开发一个app遇到了上传文件的安全问题,在这里记录下来,弥补自己只有鱼的记忆的缺陷,也希望有人能够提供更好的思路去解决文件上传的安全问题.

下面这个类是文件上传的公共方法,ToolUtils判断的是文件的类型(jpg/png等),这样的做法根本不能避免上传的文件不是木马.下面引入两种方式,调用时候只需要引用一种即可.

private String executeUpload(String uploadDir,MultipartFile file) throws Exception {
     // 文件后缀名
     String suffix = file.getOriginalFilename().substring(file.getOriginalFilename().lastIndexOf("."));
     // 判断后缀名是否合法
     String suffixs = suffix.substring(1, suffix.length());
     boolean isImage = ToolUtils.isImage(suffixs);
     if(!isImage) {
         logger.error("the transfer file is not a image!");
         throw new FileException("上传非法文件!");
     }
     // 上传文件名
     String fileName = UUID.randomUUID() + suffix;
     InputStream inputStream = file.getInputStream();
     // 第二种,判断文件是否含有木马(读取流)
     // boolean flag = FileUtil.isFile(inputStream);
     // if(!flag) {
     //  logger.error("the transfer file is not a image!");
     //  throw new FileException("上传非法文件!");
     // }
     // 服务器端保存的文件对象
 
     // 第一种重写图片引入
     try {
         ImageUtil.resize1(inputStream, fileName, uploadDir);
     } catch (Exception e) {
         logger.error("the transfer file is not a image!");
         throw new FileException("上传非法文件!");
     }
     // File serverFile = new File(uploadDir + fileName);
     // 将上传的文件写入到服务器端文件内
     // file.transferTo(serverFile);
 
     return fileName;
 }

第一种是将出入的图片重写,实践证明,不是图片的文件会直接报错,然后在executeUpload中被捕获.是图片但有脚本文件的文件会被重写,脚本文件会被移除.

   *     public class ImageUtil {

            public static void resize1(InputStream inputStream, String fileName, String uploadDir) throws Exception  {
                if (inputStream == null) {
                    return;
                }
                BufferedImage src = ImageIO.read(inputStream);
                int old_w = src.getWidth();
                // 得到源图宽
                int old_h = src.getHeight();
                // 得到源图长
                BufferedImage newImg = null;
                // 判断输入图片的类型
                switch (src.getType()) {
                case 13:
                  // png,gif
                  newImg = new BufferedImage(old_w, old_h, BufferedImage.TYPE_4BYTE_ABGR);
                  break;
                default:
                  newImg = new BufferedImage(old_w, old_h, BufferedImage.TYPE_INT_RGB);
                  break;
                }
                Graphics2D g = newImg.createGraphics();
                // 从原图上取颜色绘制新图
                g.drawImage(src, 0, 0, old_w, old_h, null);
                g.dispose();
                // 根据图片尺寸压缩比得到新图的尺寸
                newImg.getGraphics().drawImage(
                src.getScaledInstance(old_w, old_h, Image.SCALE_SMOOTH), 0,0, null);
                File newFile = new File(uploadDir+fileName);
                String endName = fileName.substring(fileName.lastIndexOf(".")+1).toLowerCase();
                ImageIO.write(newImg, endName, newFile);
          }
      }

第二种是将图片流转换成十六进制的string字符进行过滤,分辨是否含有高危字符.

 public static boolean isFile(InputStream inputStream) throws IOException {
      byte[] byteArray = IOUtils.toByteArray(inputStream);
      String str = bytesToHexString(byteArray);
      // 匹配16进制中的 <% ( ) %> 
      // 匹配16进制中的  
      // 匹配16进制中的

Java校验上传图片文件是否含有木马的两种方式

这两天开发一个app遇到了上传文件的安全问题,在这里记录下来,弥补自己只有鱼的记忆的缺陷,也希望有人能够提供更好的思路去解决文件上传的安全问题.

下面这个类是文件上传的公共方法,ToolUtils判断的是文件的类型(jpg/png等),这样的做法根本不能避免上传的文件不是木马.下面引入两种方式,调用时候只需要引用一种即可.

第一种是将出入的图片重写,实践证明,不是图片的文件会直接报错,然后在executeUpload中被捕获.是图片但有脚本文件的文件会被重写,脚本文件会被移除.

第二种是将图片流转换成十六进制的string字符进行过滤,分辨是否含有高危字符.

你可能感兴趣的:(Java校验上传图片文件是否含有木马的两种方式)