🍊作者简介: 不肯过江东丶,一个来自二线城市的程序员,致力于用“猥琐”办法解决繁琐问题,让复杂的问题变得通俗易懂。
🍊支持作者: 点赞👍、关注💖、留言💌~
我们在开发应用软件的时候一定会涉及到文件上传的功能,并且我们还要对用户上传文件的合法性进行校验。在文件校验的时候,我们通常会通过文件的后缀名去校验该文件是否合法,但是这样校验就会有一个弊端:如果用户上传的文件是改过文件名后缀的文件该怎么办呢🤔?(比如某个上传接口只允许上传图片,那么如果我把一个 .txt 文件的后缀改成 .jpg ,那么就可以绕过文件的后缀名校验方法😥)俗话说“繁琐问题必有猥琐解法”,那么今天就给各位小伙伴介绍另外一种文件校验方式 —— 通过文件魔数值进行校验。
魔数这个词在不同领域代表不同的含义。在计算机领域,魔数有两个含义,一指用来判断文件类型的魔数;二指程序代码中的魔数,也称魔法值。
我们今天所说的魔数就是表示不同文件类型的魔术数字,它指定是文件的最开头的几个用于唯一区别其它文件类型的字节,有了这些魔术数字,我们就可以很方便的区别不同的文件,这也使得编程变得更加容易,减少了我们用于区别一个文件的文件类型所要花费的时间😁。关于文件校验也没有什么需要过多阐述的东西,下面就直接上代码👇
import org.springframework.web.multipart.MultipartFile;
import java.io.IOException;
import java.io.InputStream;
import java.util.HashMap;
/**
* 文件上传校验工具类
*
* @description: fileUploadUtils
* @author: 庄霸.liziye
* @create: 2022-08-13 09:31
**/
public class fileUploadUtils {
// 缓存文件魔数值
public static final HashMap<String, String> mFileTypes = new HashMap<String, String>();
static {
mFileTypes.put("FFD8FFE0", "jpg");
mFileTypes.put("89504E47", "png");
mFileTypes.put("47494638", "gif");
mFileTypes.put("49492A00", "tif");
mFileTypes.put("424D", "bmp");
mFileTypes.put("38425053", "psd");
mFileTypes.put("3C3F786D6C", "xml");
mFileTypes.put("68746D6C3E", "html");
mFileTypes.put("D0CF11E0", "doc");
mFileTypes.put("5374616E64617264204A", "mdb");
mFileTypes.put("255044462D312E", "pdf");
mFileTypes.put("504B0304", "docx");
mFileTypes.put("52617221", "rar");
mFileTypes.put("41564920", "avi");
}
/**
* 文件上传校验
*
* @param file 上传的文件
* @param allowedExtension 允许上传的文件后缀集合
* @throws Exception
*/
public static final void assertAllowed(MultipartFile file, String[] allowedExtension) throws Exception {
//通过文件魔数获取文件的原始类型
String fileExtension = mFileTypes.get(getFileHeader(file));
//原始类型与允许类型集合进行比较,判断文件是否合法
if (!isAllowedExtension(fileExtension, allowedExtension)) {
throw new Exception("文件格式上传有误");
}
}
/**
* 获取文件魔数值
*
* @param file
* @return
*/
public static String getFileHeader(MultipartFile file) {
InputStream is = null;
String value = null;
try {
is = file.getInputStream();
byte[] b = new byte[4];
is.read(b, 0, b.length);
value = bytesToHexString(b);
} catch (Exception e) {
} finally {
if (null != is) {
try {
is.close();
} catch (IOException e) {
}
}
}
return value;
}
private static String bytesToHexString(byte[] src) {
StringBuilder builder = new StringBuilder();
if (src == null || src.length <= 0) {
return null;
}
String hv;
for (int i = 0; i < src.length; i++) {
hv = Integer.toHexString(src[i] & 0xFF).toUpperCase();
if (hv.length() < 2) {
builder.append(0);
}
builder.append(hv);
}
System.out.println("文件魔数值为:" + builder.toString());
return builder.toString();
}
/**
* 判断MIME类型是否是允许的MIME类型
*
* @param extension
* @param allowedExtension
* @return
*/
public static final boolean isAllowedExtension(String extension, String[] allowedExtension) {
for (String str : allowedExtension) {
if (str.equalsIgnoreCase(extension)) {
return true;
}
}
return false;
}
}
方法很简单,没有什么复杂的逻辑,唯一需要注意的就是:代码中罗列出的文件魔数值都是一些常用的文件所对应的魔数值,如果有特殊的文件需要校验的话,可以先跑一次校验工具,获取到对应的魔数值以后,将魔数值加到 HashMap 中就可以正常使用啦~
本人经验有限,有些地方可能讲的没有特别到位,如果您在阅读的时候想到了什么问题,欢迎在评论区留言,我们后续再一一探讨🙇
希望各位小伙伴动动自己可爱的小手,来一波点赞+关注 (✿◡‿◡) 让更多小伙伴看到这篇文章~ 蟹蟹呦(●’◡’●)
如果文章中有错误,欢迎大家留言指正;若您有更好、更独到的理解,欢迎您在留言区留下您的宝贵想法。
你在被打击时,记起你的珍贵,抵抗恶意;
你在迷茫时,坚信你的珍贵,抛开蜚语;
爱你所爱 行你所行 听从你心 无问东西