文件上传时,为了安全验证,对于手工改动文件后缀名产生的伪造文件进行判断过滤。我们可以根据文件头来判断该文件究竟是什么文件类型。
以下常见文件头类型(网查可靠待定)
JPEG (jpg),文件头:FFD8FF PNG (png),文件头:89504E47 GIF (gif),文件头:47494638 TIFF (tif),文件头:49492A00 Windows Bitmap (bmp),文件头:424D CAD (dwg),文件头:41433130 Adobe Photoshop (psd),文件头:38425053 Rich Text Format (rtf),文件头:7B5C727466 XML (xml),文件头:3C3F786D6C HTML (html),文件头:68746D6C3E Email [thorough only] (eml),文件头:44656C69766572792D646174653A Outlook Express (dbx),文件头:CFAD12FEC5FD746F Outlook (pst),文件头:2142444E MS Word/Excel (xls.or.doc),文件头:D0CF11E0 MS Access (mdb),文件头:5374616E64617264204A WordPerfect (wpd),文件头:FF575043 Postscript (eps.or.ps),文件头:252150532D41646F6265 Adobe Acrobat (pdf),文件头:255044462D312E Quicken (qdf),文件头:AC9EBD8F Windows Password (pwl),文件头:E3828596 ZIP Archive (zip),文件头:504B0304 RAR Archive (rar),文件头:52617221 Wave (wav),文件头:57415645 AVI (avi),文件头:41564920 Real Audio (ram),文件头:2E7261FD Real Media (rm),文件头:2E524D46 MPEG (mpg),文件头:000001BA MPEG (mpg),文件头:000001B3 Quicktime (mov),文件头:6D6F6F76 Windows Media (asf),文件头:3026B2758E66CF11 MIDI (mid),文件头:4D546864
判断逻辑待码(根据前4个字节判断)
package cn.cslp.dgs.util; import java.io.File; import java.io.FileInputStream; import java.io.InputStream; import java.util.HashMap; import java.util.Map; public class FileCheckUtil { public final static Map<String, String> FILE_TYPE_MAP = new HashMap<String, String>(); // 可配置在外部配置文件中 public static void init() { FILE_TYPE_MAP.put("jpg", "ffd8ffe0"); // JPEG (jpg) FILE_TYPE_MAP.put("png", "89504e47"); // PNG (png) FILE_TYPE_MAP.put("gif", "47494638"); // GIF (gif) FILE_TYPE_MAP.put("html", "3c21444f"); // HTML (html) FILE_TYPE_MAP.put("css", "48544d4c"); // css FILE_TYPE_MAP.put("js", "696b2e71"); // js FILE_TYPE_MAP.put("doc", "d0cf11e0"); // MS Excel 注意:word、msi 、 excel、Visio 绘图 的文件头一样 FILE_TYPE_MAP.put("pdf", "25504446"); // (pdf) FILE_TYPE_MAP.put("zip", "504b0304"); FILE_TYPE_MAP.put("rar", "52617221"); FILE_TYPE_MAP.put("docx", "504b0304");// docx文件 } static { init(); } private FileCheckUtil() { } /** * 启用 * 可配置在外部配置文件中 * @return */ private static boolean getStartUsing() { return true; } /** * 校验type * * @param content * @param fileName * @return */ public static boolean checkFileType(byte[] content, String fileName) { if (!getStartUsing()) { return true; } if (null == fileName || fileName.equals("")) { return false; } if (null == content || content.length <= 0) { return false; } // 文件后缀 String suffix = fileName.substring(fileName.lastIndexOf(".") + 1); String realCode = FILE_TYPE_MAP.get(suffix); if (realCode == null || (realCode = realCode.trim()).length() == 0) { // 没有配置校验的,直接通过 return true; } // 获取文件的前16个字节 String fileCode = getFileFrontCode(content, 16); if (fileCode.toLowerCase().startsWith(realCode.toLowerCase())) { // 匹配,通过 return true; } // 全都不匹配,校验不通过 return false; } /** * 将文件头转换成16进制字符串 * * @param 原生byte * @return 16进制字符串 */ public static String bytesToHexString(byte[] src) { StringBuilder stringBuilder = new StringBuilder(); if (src == null || src.length <= 0) { return null; } for (int i = 0; i < src.length; i++) { int v = src[i] & 0xFF; String hv = Integer.toHexString(v); if (hv.length() < 2) { stringBuilder.append(0); } stringBuilder.append(hv); } return stringBuilder.toString(); } /** * 文件头byte * * @param content * @param num * @return */ private static String getFileFrontCode(byte[] content, Integer num) { Integer length = Math.min(content.length, num); // 防止copy出现越界 byte[] b = new byte[length]; System.arraycopy(content, 0, b, 0, b.length); return bytesToHexString(b); } public static void main(String[] args) throws Exception { String p = "D:\\temp\\logs\\pdf\\2.pdf"; byte[] b = new byte[20]; InputStream in = new FileInputStream(new File(p)); in.read(b, 0, 20); String fileCode = bytesToHexString(b); System.out.println("截取前:" + fileCode); System.out.println(checkFileType(b, "2.pdf")); } }
