SpringBoot中验证用户上传的图片资源的方法
允许用户上传图片资源(头像,发帖)是APP常见的需求,特别需要把用户的资源IO到磁盘情况下,需要防止坏人提交一些非法的文件,例如木马,webshell,可执行程序等等。这类非法文件不仅会导致客户端图片资源显示失败,而且还会给服务器带来安全问题。
通过文件后缀判断文件的合法性
这种方式比较常见,也很简单,是目前大多数APP选择的做法。
public Object upload (@RequestParam("file") MultipartFile multipartFile) throws IllegalStateException, IOException {
// 原始文件名称
String fileName = multipartFile.getOriginalFilename();
// 解析到文件后缀,判断是否合法
int index = fileName.lastIndexOf(".");
String suffix = null;
if (index == -1 || (suffix = fileName.substring(index + 1)).isEmpty()) {
return "文件后缀不能为空";
}
// 允许上传的文件后缀列表
Set<String> allowSuffix = new HashSet<>(Arrays.asList("jpg", "jpeg", "png", "gif"));
if (!allowSuffix.contains(suffix.toLowerCase())) {
return "非法的文件,不允许的文件类型:" + suffix;
}
// 序列化到磁盘中的文件上传目录, /upload
// FileCopyUtils.copy 方法会自动关闭流资源
FileCopyUtils.copy(multipartFile.getInputStream(), Files.newOutputStream(Paths.get("D://upload", fileName), StandardOpenOption.CREATE_NEW));
// 返回相对访问路径,文件名极有可能带中文或者空格等字符,进行uri编码
return "/" + UriUtils.encode(fileName, StandardCharsets.UTF_8);
}
使用 ImageIO 判断是否是图片
这个方法就比较严格了,在判断后缀的基础上,使用Java的ImageIO类去加载图片,尝试读取其宽高信息,如果不是合法的图片资源。则无法读取到这两个数据。就算是把非法文件修改了后缀,也可以检测出来。
public Object upload (@RequestParam("file") MultipartFile multipartFile) throws IllegalStateException, IOException {
// 原始文件名称
String fileName = multipartFile.getOriginalFilename();
// 解析到文件后缀
int index = fileName.lastIndexOf(".");
String suffix = null;
if (index == -1 || (suffix = fileName.substring(index + 1)).isEmpty()) {
return "文件后缀不能为空";
}
// 允许上传的文件后缀列表
Set<String> allowSuffix = new HashSet<>(Arrays.asList("jpg", "jpeg", "png", "gif"));
if (!allowSuffix.contains(suffix.toLowerCase())) {
return "非法的文件,不允许的文件类型:" + suffix;
}
// 临时文件
File tempFile = new File(System.getProperty("java.io.tmpdir"), fileName);
try {
// 先把文件序列化到临时目录
multipartFile.transferTo(tempFile);
try {
// 尝试IO文件,判断文件的合法性
BufferedImage bufferedImage = ImageIO.read(tempFile);
bufferedImage.getWidth();
bufferedImage.getHeight();
} catch (Exception e) {
// IO异常,不是合法的图片文件,返回异常信息
return "文件不是图片文件";
}
// 复制到到上传目录
FileCopyUtils.copy(new FileInputStream(tempFile), Files.newOutputStream(Paths.get("D://upload", fileName), StandardOpenOption.CREATE_NEW));
// 返回相对访问路径
return "/" + UriUtils.encode(fileName, StandardCharsets.UTF_8);
} finally {
// 响应客户端后,始终删除临时文件
tempFile.delete();
}
}
总结
使用ImageIo的方式更为保险,但是需要多几次IO操作。比较消耗性能。而且今天APP大都是用云存储服务,类似于阿里云的OSS。直接就把客户端上传的文件PUT到了云端,才不管用户上传的图片是不是真正的图片,非法上传,最多导致客户端不能显示而已,但是威胁不了服务器的安全。
原文:https://springboot.io/t/topic/2231
到此这篇关于在SpringBoot中验证用户上传的图片资源的文章就介绍到这了,更多相关SpringBoot验证用户上传的图片资源内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!
相关推荐
-
springboot控制层图片验证码生成
本次博客记录项目中一个图片验证码的实现,虽然不是很复杂,但好记性不如烂笔头,谨记! package com.zl.util; import java.awt.Color; import java.awt.Font; import java.awt.Graphics; import java.awt.image.BufferedImage; import java.io.FileOutputStream; import java.io.IOException; import java.io.Out
-
SpringBoot实现前端验证码图片生成和校验
SpringBoot下实现前端验证码图片的生成和校验,供大家参考,具体内容如下 1.效果 点击验证码可以获取新的验证码 2.原理 后台生成验证码图片,将图片传到前台. 后台在session中保存验证码内容. 前台输入验证码后传到后台在后台取出session中保存的验证码进行校验. 注意,验证码的明文是不能传送到前端的.前端内容都是透明的,不安全.验证码是用来防机器人并不是单单防人.如果把验证码明文传到前端很容易就会被破解. 3.图片生成 验证码生成工具类RandomValidateCodeUti
-
springboot登陆页面图片验证码简单的web项目实现
写在前面 前段时间大家都说最近大环境不好,好多公司在裁员,换工作的话不推荐轻易的裸辞,但是我想说的是我所在的公司好流弊,有做不完的业务需求,还有就是招不完的人...... 最近我也是比较繁忙,但是还是要抽一点时间来进行自我复盘和记录,最近也写一个简单的小功能,就是登陆界面的图片验证码功能 环境:Tomcat9.Jdk1.8 1 生成验证码的工具类 public class RandomValidateCodeUtil { public static final String RANDOMCODE
-
SpringBoot中验证用户上传的图片资源的方法
允许用户上传图片资源(头像,发帖)是APP常见的需求,特别需要把用户的资源IO到磁盘情况下,需要防止坏人提交一些非法的文件,例如木马,webshell,可执行程序等等.这类非法文件不仅会导致客户端图片资源显示失败,而且还会给服务器带来安全问题. 通过文件后缀判断文件的合法性 这种方式比较常见,也很简单,是目前大多数APP选择的做法. public Object upload (@RequestParam("file") MultipartFile multipartFile) thro
-
IIS 7 中设置文件上传大小限制设置方法
在IIS 6.0中设置文件上传大小的方法,就是配置如下节点: 复制代码 代码如下: <system.web><httpRuntime maxRequestLength="1048576" executionTimeout="600"/> </system.web> 但在IIS7中,设置如上设置后,不管设置多大数值,最大上传了限制为30M 还要进行如下设置才能正确: 方法1: appcmd set config &qu
-
SpringBoot中的multipartResolver上传文件配置
目录 multipartResolver上传文件配置 1.gradle配置 2.注册Bean SpringBoot MultipartResolver的坑 解决方案 multipartResolver上传文件配置 1.gradle配置 compile ('commons-io:commons-io:1.4') compile('commons-fileupload:commons-fileupload:1.2.1') 2.注册Bean @Bean(name = "multipartResolve
-
利用django如何解析用户上传的excel文件
前言 我们在工作中的时候,会有这种需求:用户上传一个格式固定excel表格到网站上,然后程序负债解析内容并进行处理.我最近在工作中就遇到了,所以想着将解决的过程总结分享出来,方便大家参考学习,下面话不多说,来一起看看详细的介绍: 举一个简单的栗子,比如我们有这样一个HTML: <!DOCTYPE html> <html> <head> <meta charset="utf-8"> </head> <body> &l
-
php使用ereg验证文件上传的方法
本文实例讲述了php使用ereg验证文件上传的方法.分享给大家供大家参考.具体分析如下: ereg格式如下: 复制代码 代码如下: ereg(正规表达式,字符串,[匹配部分数组名]); 这里利用了ereg来验证用户上传的文件类型与文件名是否是符合文件命名规则,实例代码如下: 复制代码 代码如下: if( !is_uploaded_file($upfile) ) { echo("你什么都没有上传哦!"); exit(); } else { if( !ereg(&quo
-
ASP.NET中FileUpload文件上传控件应用实例
使用 FileUpload 控件,可以为用户提供一种将文件从用户的计算机发送到服务器的方法.该控件在允许用户上载图片.文本文件或其他文件时很有用.要上载的文件将在回发期间作为浏览器请求的一部分提交给服务器.在文件上载完毕后,您可以用代码管理该文件. 大致了解了一下FileUpload,让我们来看一下FileUpload几个实际应用中问题的处理方法. 1.一次上传多个文件 要一次上传多个文件,我们可以像传单个文件那样对每个文件单独进行处理,除此之外,我们还可以使用HttpFileCollectio
-
springboot+vue实现文件上传下载
本文实例为大家分享了springboot+vue实现文件上传下载的具体代码,供大家参考,具体内容如下 一.文件上传(基于axios的简单上传) 所使用的技术:axios.springboot.vue; 实现思路:通过h5 :input元素标签进行选择文件,获取所选选择的文件路径,new fromdata对象,设置fromdata的参数,设置axios对应的请求头,最后通过axios发送post请求后端服务.后端服务同过MultipartFile进行文件接收.具体代码如下: 前端代码: 1.创建v
-
Java中实现文件上传下载的三种解决方案(推荐)
java文件上传与文件下载是程序开发中比较常见的功能,下面通过本文给大家介绍Java中实现文件上传下载的三种解决方案,具体详情如下所示: 第一点:Java代码实现文件上传 FormFile file=manform.getFile(); String newfileName = null; String newpathname=null; String fileAddre="/numUp"; try { InputStream stream = file.getInputStream(
-
PHP中,文件上传
在PHP中,文件上传一般是通过move_uploaded_file()来实现的. bool move_uploaded_file ( string filename, string destination )本函数检查并确保由 filename 指定的文件是合法的上传文件(即通过 PHP 的 HTTP POST 上传机制所上传的).如果文件合法,则将其移动为由 destination 指定的文件. 如果 filename 不是合法的上传文件,不会出现任何操作,move_uploaded_fil
-
真正好用的js验证上传文件大小的简单方法
最近使用到一个文件上传功能,发现恶意上传一个2G文件时,后台处理响应较慢,遂想到能否使用js来进行客户端的验证.但查阅网上多处资料,均使用 ActiveXObject("Scripting.FileSystemObject"); 的方法,该方法需要将Internet选项中安全级别提高,启用一个系统本身不推荐的选项,会出现如下非常不友好的提示: 所以这边并没有用到,而是寻求其他方法. 这边新的思路是img标签中的dynsrc属性. 在FireFox.Chrome浏览器中可以根据docum