2. 程式人生 > 其它 >SpringBoot如何驗證使用者上傳的圖片資源

SpringBoot如何驗證使用者上傳的圖片資源

阿新 發佈:2021-10-12
這篇文章主要介紹了在SpringBoot中驗證使用者上傳的圖片資源,本文通過例項程式碼給大家介紹的非常詳細,對大家的學習或工作具有一定的參考借鑑價值,需要的朋友可以參考下

允許使用者上傳圖片資源(頭像,發帖)是APP常見的需求,特別需要把使用者的資源IO到磁碟情況下,需要防止壞人提交一些非法的檔案,例如木馬,webshell,可執行程式等等。這類非法檔案不僅會導致客戶端圖片資源顯示失敗,而且還會給伺服器帶來安全問題。

通過檔案字尾判斷檔案的合法性

這種方式比較常見,也很簡單,是目前大多數APP選擇的做法。

public Object upload (@RequestParam("file") MultipartFile multipartFile) throws IllegalStateException, IOException {
     
    // 原始檔名稱
    String fileName = multipartFile.getOriginalFilename();
     
    // 解析到檔案字尾,判斷是否合法
    int index = fileName.lastIndexOf(".");
    String suffix = null;
    if (index == -1 || (suffix = fileName.substring(index + 1)).isEmpty()) {
        return "檔案字尾不能為空";
    }
     
    // 允許上傳的檔案字尾列表
    Set allowSuffix = new HashSet<>(Arrays.asList("jpg", "jpeg", "png", "gif"));
    if (!allowSuffix.contains(suffix.toLowerCase())) {
        return "非法的檔案,不允許的檔案型別:" + suffix;
    }
     
    // 序列化到磁碟中的檔案上傳目錄, /upload
    // FileCopyUtils.copy 方法會自動關閉流資源
    FileCopyUtils.copy(multipartFile.getInputStream(), Files.newOutputStream(Paths.get("D://upload", fileName), StandardOpenOption.CREATE_NEW));
     
    // 返回相對訪問路徑,檔名極有可能帶中文或者空格等字元,進行uri編碼
    return  "/" + UriUtils.encode(fileName, StandardCharsets.UTF_8);
}
使用 ImageIO 判斷是否是圖片

這個方法就比較嚴格了,在判斷後綴的基礎上,使用Java的ImageIO類去載入圖片,嘗試讀取其寬高資訊,如果不是合法的圖片資源。則無法讀取到這兩個資料。就算是把非法檔案修改了字尾,也可以檢測出來。

public Object upload (@RequestParam("file") MultipartFile multipartFile) throws IllegalStateException, IOException {
     
    // 原始檔名稱
    String fileName = multipartFile.getOriginalFilename();
     
    // 解析到檔案字尾
    int index = fileName.lastIndexOf(".");
    String suffix = null;
    if (index == -1 || (suffix = fileName.substring(index + 1)).isEmpty()) {
        return "檔案字尾不能為空";
    }
     
    // 允許上傳的檔案字尾列表
    Set allowSuffix = new HashSet<>(Arrays.asList("jpg", "jpeg", "png", "gif"));
    if (!allowSuffix.contains(suffix.toLowerCase())) {
        return "非法的檔案,不允許的檔案型別:" + suffix;
    }
     
    // 臨時檔案
    File tempFile = new File(System.getProperty("java.io.tmpdir"), fileName);
     
    try {
        // 先把檔案序列化到臨時目錄
        multipartFile.transferTo(tempFile);
        try {
            // 嘗試IO檔案,判斷檔案的合法性
            BufferedImage  bufferedImage = ImageIO.read(tempFile);
            bufferedImage.getWidth();
            bufferedImage.getHeight();
        } catch (Exception e) {
            // IO異常,不是合法的圖片檔案,返回異常資訊
            return "檔案不是圖片檔案";
        }
        // 複製到到上傳目錄
        FileCopyUtils.copy(new FileInputStream(tempFile), Files.newOutputStream(Paths.get("D://upload", fileName), StandardOpenOption.CREATE_NEW));
        // 返回相對訪問路徑
        return  "/" + UriUtils.encode(fileName, StandardCharsets.UTF_8);
    } finally {
        // 響應客戶端後,始終刪除臨時檔案
        tempFile.delete();
    }
}
總結

使用ImageIo的方式更為保險,但是需要多幾次IO操作。比較消耗效能。而且今天APP大都是用雲端儲存服務,類似於阿里雲的OSS。直接就把客戶端上傳的檔案PUT到了雲端,才不管使用者上傳的圖片是不是真正的圖片,非法上傳,最多導致客戶端不能顯示而已,但是威脅不了伺服器的安全。

本文地址:https://www.linuxprobe.com/springboot-java-imageio.html

相關推薦

Springboot使用MultipartFile圖片

菜雞程式設計師進階之路——初入職場,要寫一個圖片上傳的功能介面,搞定它。 Controller層接收引數,因為我是要同時上傳多張圖片,所以用陣列接收 MultipartFile[] ,一張圖片就只用MultipartFile就行了。

SpringBoot驗證使用者圖片資源

允許使用者上傳圖片資源(頭像,發帖)是APP常見的需求,特別需要把使用者的資源IO到磁碟情況下,需要防止壞人提交一些非法的檔案,例如木馬,webshell,可執行程式等等。這類非法檔案不僅會導致客戶端圖片資源顯示失

SpringBoot如何驗證使用者圖片資源

這篇文章主要介紹了在SpringBoot驗證使用者圖片資源,本文通過例項程式碼給大家介紹的非常詳細,對大家的學習或工作具有一定的參考借鑑價值,需要的朋友可以參考下

SpringBoot如何圖片

1.前端準備 <%@ page language=\"java\" contentType=\"text/html; charset=UTF-8\" pageEncoding=\"UTF-8\"%>

詳解SpringBoot圖片到阿里雲的OSS物件儲存中

啟動idea建立一個SpringBoot專案 將面的步驟完成之後,點選下一步建立專案 建立完成之後修改pom.xml檔案,新增阿里雲oss依賴

SpringBoot圖片的示例

說明:通常專案中,如果圖片比較多的話,都會把圖片放在專門的伺服器,而不會直接把圖片放在業務程式碼所在的伺服器。下面的例子只是為了學習基本流程,所以放在了本地。

解決springboot圖片後無法立即訪問需重啟的問題

1)建立配置類實現 WebMvcConfigurer 2)重寫addResourceHandlers 方法進行設定 說明:/images/** images 為相對路徑 即resources/static 目錄下的靜態資源 images為存放圖片的目錄

springboot圖片檔案步驟詳解

步驟一:基於前面springboot入門小demo   基於的springboot入門小demo,已包含了前面文章的知識點(比如:熱部署、全域性異常處理器)。

SpringBoot 實現檔案圖片並顯示功能

我先看一下《頸椎病康復指南》再給大家說怎麼實現的這兩個功能,畢竟只是一個新手,解決這種複雜點的問題(相對而言),還是需要花費大量時間的,這篇文章花了兩天的時間才實現的功能,現在就記錄一下使用springboot

jquery完整的前端圖片功能(帶自定義圖片預覽效果驗證尺寸大小驗證圖片格式)

技術標籤:工作分享jshtmljqueryjavascriptcss 最近經常遇到前端開發時,需要進行自定義圖片上傳的功能,因此自己在網上找了很多模板,拼接組合一下,寫了一個可以直接利用jquery使用的模板,可以直接拿走進行改

springboot圖片後儲存到本地

MultipartFile bannerPicture用於接收圖片的引數 bannerPicture.getBytes(); pictureName = Util.uuid() + \".\" + Constants.PICTURE_FORMAT; //隨機圖片名

springboot圖片

1 controller層 @PostMapping(\"/uploadPictrue\") @ResponseBody public Object uploadIconPictrue(@RequestParam(\"files\") MultipartFile[] multipartFiles,

SpringBoot圖片與回顯

初級 新增依賴: <dependency> <groupId>commons-io</groupId> <artifactId>commons-io</artifactId>

SpringBoot圖片後網站不顯示問題,重啟專案後才顯示

問題描述:新增圖片後,發現回顯不了,404,發現網站也不顯示圖片,檢視資料庫、儲存路徑都是正確的,在重啟伺服器後照片又顯示了。

SpringBoot圖片專案

圖片到伺服器,並返回路徑 maven的配置 <?xml version=\"1.0\" encoding=\"UTF-8\"?>

app直播原始碼,js實現圖片型別+大小+尺寸驗證

app直播原始碼,js實現圖片型別+大小+尺寸驗證 html程式碼: <input type=\"file\" name=\"files\" id=\"file\" onchange=\"verificationPicFile(this)\">

springboot多檔案程式碼例項及解析

這篇文章主要介紹了springboot多檔案程式碼例項及解析,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

springboot實現檔案步驟解析

這篇文章主要介紹了springboot實現檔案步驟解析,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

SpringBoot實現檔案介面

摘要 公司都是採用SpringBoot作為專案框架,其實SpringBoot和SSM框架很接近,基本上只是將SSM的一些配置項修改為自動配置或者簡單的註解配置就可以了,建議不瞭解的SpringBoot的朋友們可以瞭解一下,上手很快,其實

springboot下ueditor功能的實現及遇到的問題

前言 本文主要寫的是:springboot下ueditor功能的實現及遇到的一些問題的處理