2. 程式人生 > 實用技巧 >在SpringBoot中驗證使用者上傳的圖片資源

在SpringBoot中驗證使用者上傳的圖片資源

阿新 發佈:2020-07-15

允許使用者上傳圖片資源(頭像,發帖)是APP常見的需求,特別需要把使用者的資源IO到磁碟情況下,需要防止壞人提交一些非法的檔案,例如木馬,webshell,可執行程式等等。這類非法檔案不僅會導致客戶端圖片資源顯示失敗,而且還會給伺服器帶來安全問題。

通過檔案字尾判斷檔案的合法性

這種方式比較常見,也很簡單,是目前大多數APP選擇的做法。

public Object upload (@RequestParam("file") MultipartFile multipartFile) throws IllegalStateException, IOException {
	
	// 原始檔名稱
	String fileName = multipartFile.getOriginalFilename();
	
	// 解析到檔案字尾,判斷是否合法
	int index = fileName.lastIndexOf(".");
	String suffix = null;
	if (index == -1 || (suffix = fileName.substring(index + 1)).isEmpty()) {
		return "檔案字尾不能為空";
	}
	
	// 允許上傳的檔案字尾列表
	Set<String> allowSuffix = new HashSet<>(Arrays.asList("jpg", "jpeg", "png", "gif"));
	if (!allowSuffix.contains(suffix.toLowerCase())) {
		return "非法的檔案,不允許的檔案型別:" + suffix;
	}
	
	// 序列化到磁碟中的檔案上傳目錄, /upload
	// FileCopyUtils.copy 方法會自動關閉流資源
	FileCopyUtils.copy(multipartFile.getInputStream(), Files.newOutputStream(Paths.get("D://upload", fileName), StandardOpenOption.CREATE_NEW));
	
	// 返回相對訪問路徑,檔名極有可能帶中文或者空格等字元,進行uri編碼
	return  "/" + UriUtils.encode(fileName, StandardCharsets.UTF_8);
}

使用 ImageIO 判斷是否是圖片

這個方法就比較嚴格了,在判斷後綴的基礎上,使用Java的ImageIO類去載入圖片,嘗試讀取其寬高資訊,如果不是合法的圖片資源。則無法讀取到這兩個資料。就算是把非法檔案修改了字尾,也可以檢測出來。

public Object upload (@RequestParam("file") MultipartFile multipartFile) throws IllegalStateException, IOException {
	
	// 原始檔名稱
	String fileName = multipartFile.getOriginalFilename();
	
	// 解析到檔案字尾
	int index = fileName.lastIndexOf(".");
	String suffix = null;
	if (index == -1 || (suffix = fileName.substring(index + 1)).isEmpty()) {
		return "檔案字尾不能為空";
	}
	
	// 允許上傳的檔案字尾列表
	Set<String> allowSuffix = new HashSet<>(Arrays.asList("jpg", "jpeg", "png", "gif"));
	if (!allowSuffix.contains(suffix.toLowerCase())) {
		return "非法的檔案,不允許的檔案型別:" + suffix;
	}
	
	// 臨時檔案
	File tempFile = new File(System.getProperty("java.io.tmpdir"), fileName);
	
	try {
		// 先把檔案序列化到臨時目錄
		multipartFile.transferTo(tempFile);
		try {
			// 嘗試IO檔案,判斷檔案的合法性
			BufferedImage  bufferedImage = ImageIO.read(tempFile);
			bufferedImage.getWidth();
			bufferedImage.getHeight();
		} catch (Exception e) {
			// IO異常,不是合法的圖片檔案,返回異常資訊
			return "檔案不是圖片檔案";
		}
		// 複製到到上傳目錄
		FileCopyUtils.copy(new FileInputStream(tempFile), Files.newOutputStream(Paths.get("D://upload", fileName), StandardOpenOption.CREATE_NEW));
		// 返回相對訪問路徑
		return  "/" + UriUtils.encode(fileName, StandardCharsets.UTF_8);
	} finally {
		// 響應客戶端後,始終刪除臨時檔案
		tempFile.delete();
	}
}

總結

使用ImageIo的方式更為保險,但是需要多幾次IO操作。比較消耗效能。而且今天APP大都是用雲端儲存服務,類似於阿里雲的OSS。直接就把客戶端上傳的檔案PUT到了雲端,才不管使用者上傳的圖片是不是真正的圖片,非法上傳,最多導致客戶端不能顯示而已,但是威脅不了伺服器的安全。

原文:https://springboot.io/t/topic/2231

相關推薦

SpringBoot驗證使用者圖片資源

允許使用者上傳圖片資源(頭像,發帖)是APP常見的需求,特別需要把使用者的資源IO到磁碟情況下,需要防止壞人提交一些非法的檔案,例如木馬,webshell,可執行程式等等。這類非法檔案不僅會導致客戶端圖片資源顯示失

SpringBoot如何驗證使用者圖片資源

這篇文章主要介紹了在SpringBoot驗證使用者圖片資源,本文通過例項程式碼給大家介紹的非常詳細,對大家的學習或工作具有一定的參考借鑑價值,需要的朋友可以參考下

vue+ Element-UI 使用Upload圖片關於action的使用

技術標籤:前端vue <el-form-item label="圖片"> <el-upload class="avatar-uploader"

springboot關於檔案、下載和預覽的問題

1.檔案springboot,檔案可以分為兩種方式:一種是直接解析為base64,存放到資料庫;另一種是直接拷貝到伺服器的磁碟目錄

詳解SpringBoot圖片到阿里雲的OSS物件儲存

啟動idea建立一個SpringBoot專案 將面的步驟完成之後,點選下一步建立專案 建立完成之後修改pom.xml檔案,新增阿里雲oss依賴

在vue使用vue-cropper圖片裁剪並圖片(配合ant-design-vue的upload元件)

在vue使用vue-cropper圖片裁剪並上傳圖片 思路:封裝一個對話方塊(Modal),裡面包含一個vue-cropper,用於ant-upload上傳檔案時呼叫彈出此對話方塊讓使用者編輯此圖片.裁剪完emit一個事件,然後上傳這個編輯後的圖片

SpringBoot如何圖片

1.前端準備 <%@ page language=\"java\" contentType=\"text/html; charset=UTF-8\" pageEncoding=\"UTF-8\"%>

Springboot使用MultipartFile圖片

菜雞程式設計師進階之路——初入職場,要寫一個圖片上傳的功能介面,搞定它。 Controller層接收引數,因為我是要同時上傳多張圖片,所以用陣列接收 MultipartFile[] ,一張圖片就只用MultipartFile就行了。

SpringBoot圖片的示例

說明:通常專案,如果圖片比較多的話,都會把圖片放在專門的伺服器,而不會直接把圖片放在業務程式碼所在的伺服器。下面的例子只是為了學習基本流程,所以放在了本地。

解決springboot圖片後無法立即訪問需重啟的問題

1)建立配置類實現 WebMvcConfigurer 2)重寫addResourceHandlers 方法進行設定 說明:/images/** images 為相對路徑 即resources/static 目錄下的靜態資源 images為存放圖片的目錄

springboot圖片檔案步驟詳解

步驟一:基於前面springboot入門小demo   基於的springboot入門小demo,已包含了前面文章的知識點(比如:熱部署、全域性異常處理器)。

jquery完整的前端圖片功能(帶自定義圖片預覽效果驗證尺寸大小驗證圖片格式)

技術標籤:工作分享jshtmljqueryjavascriptcss 最近經常遇到前端開發時,需要進行自定義圖片上傳的功能,因此自己在網上找了很多模板,拼接組合一下,寫了一個可以直接利用jquery使用的模板,可以直接拿走進行改

springboot圖片後儲存到本地

MultipartFile bannerPicture用於接收圖片的引數 bannerPicture.getBytes(); pictureName = Util.uuid() + \".\" + Constants.PICTURE_FORMAT; //隨機圖片名

springboot圖片

1 controller層 @PostMapping(\"/uploadPictrue\") @ResponseBody public Object uploadIconPictrue(@RequestParam(\"files\") MultipartFile[] multipartFiles,

SpringBoot圖片與回顯

初級 新增依賴: <dependency> <groupId>commons-io</groupId> <artifactId>commons-io</artifactId>

vue使用el-upload圖片限制圖片格式和大小

<el-upload:show-file-list=\"false\":on-success=\"handleAvatarSuccess\":before-upload=\"beforeAvatarUpload\":data=\"uploadToken\"class=\"avatar-uploader\"accept=\".jpg,.jpeg,.png\"action=\"https://

SpringBoot圖片後網站不顯示問題,重啟專案後才顯示

問題描述:新增圖片後,發現回顯不了,404,發現網站也不顯示圖片,檢視資料庫、儲存路徑都是正確的,在重啟伺服器後照片又顯示了。

SpringBoot圖片專案

圖片到伺服器,並返回路徑 maven的配置 <?xml version=\"1.0\" encoding=\"UTF-8\"?>

fabric 圖片並新增到 canvas

import { fabric } from \'fabric\'; import { Image } from \'./image\'; /** * 檔案 * 新增到 canvas

app直播原始碼,js實現圖片型別+大小+尺寸驗證

app直播原始碼,js實現圖片型別+大小+尺寸驗證 html程式碼: <input type=\"file\" name=\"files\" id=\"file\" onchange=\"verificationPicFile(this)\">