SpringBoot中驗證用戶上傳的圖片資源的方法
允許用戶上傳圖片資源(頭像,發帖)是APP常見的需求,特別需要把用戶的資源IO到磁盤情況下,需要防止壞人提交一些非法的文件,例如木馬,webshell,可執行程序等等。這類非法文件不僅會導致客戶端圖片資源顯示失敗,而且還會給服務器帶來安全問題。
通過文件後綴判斷文件的合法性
這種方式比較常見,也很簡單,是目前大多數APP選擇的做法。
public Object upload (@RequestParam("file") MultipartFile multipartFile) throws IllegalStateException, IOException { // 原始文件名稱 String fileName = multipartFile.getOriginalFilename(); // 解析到文件後綴,判斷是否合法 int index = fileName.lastIndexOf("."); String suffix = null; if (index == -1 || (suffix = fileName.substring(index + 1)).isEmpty()) { return "文件後綴不能為空"; } // 允許上傳的文件後綴列表 Set<String> allowSuffix = new HashSet<>(Arrays.asList("jpg", "jpeg", "png", "gif")); if (!allowSuffix.contains(suffix.toLowerCase())) { return "非法的文件,不允許的文件類型:" + suffix; } // 序列化到磁盤中的文件上傳目錄, /upload // FileCopyUtils.copy 方法會自動關閉流資源 FileCopyUtils.copy(multipartFile.getInputStream(), Files.newOutputStream(Paths.get("D://upload", fileName), StandardOpenOption.CREATE_NEW)); // 返回相對訪問路徑,文件名極有可能帶中文或者空格等字符,進行uri編碼 return "/" + UriUtils.encode(fileName, StandardCharsets.UTF_8); }
使用 ImageIO 判斷是否是圖片
這個方法就比較嚴格瞭,在判斷後綴的基礎上,使用Java的ImageIO
類去加載圖片,嘗試讀取其寬高信息,如果不是合法的圖片資源。則無法讀取到這兩個數據。就算是把非法文件修改瞭後綴,也可以檢測出來。
public Object upload (@RequestParam("file") MultipartFile multipartFile) throws IllegalStateException, IOException { // 原始文件名稱 String fileName = multipartFile.getOriginalFilename(); // 解析到文件後綴 int index = fileName.lastIndexOf("."); String suffix = null; if (index == -1 || (suffix = fileName.substring(index + 1)).isEmpty()) { return "文件後綴不能為空"; } // 允許上傳的文件後綴列表 Set<String> allowSuffix = new HashSet<>(Arrays.asList("jpg", "jpeg", "png", "gif")); if (!allowSuffix.contains(suffix.toLowerCase())) { return "非法的文件,不允許的文件類型:" + suffix; } // 臨時文件 File tempFile = new File(System.getProperty("java.io.tmpdir"), fileName); try { // 先把文件序列化到臨時目錄 multipartFile.transferTo(tempFile); try { // 嘗試IO文件,判斷文件的合法性 BufferedImage bufferedImage = ImageIO.read(tempFile); bufferedImage.getWidth(); bufferedImage.getHeight(); } catch (Exception e) { // IO異常,不是合法的圖片文件,返回異常信息 return "文件不是圖片文件"; } // 復制到到上傳目錄 FileCopyUtils.copy(new FileInputStream(tempFile), Files.newOutputStream(Paths.get("D://upload", fileName), StandardOpenOption.CREATE_NEW)); // 返回相對訪問路徑 return "/" + UriUtils.encode(fileName, StandardCharsets.UTF_8); } finally { // 響應客戶端後,始終刪除臨時文件 tempFile.delete(); } }
總結
使用ImageIo
的方式更為保險,但是需要多幾次IO操作。比較消耗性能。而且今天APP大都是用雲存儲服務,類似於阿裡雲的OSS。直接就把客戶端上傳的文件PUT到瞭雲端,才不管用戶上傳的圖片是不是真正的圖片,非法上傳,最多導致客戶端不能顯示而已,但是威脅不瞭服務器的安全。
原文:https://springboot.io/t/topic/2231
到此這篇關於在SpringBoot中驗證用戶上傳的圖片資源的文章就介紹到這瞭,更多相關SpringBoot驗證用戶上傳的圖片資源內容請搜索WalkonNet以前的文章或繼續瀏覽下面的相關文章希望大傢以後多多支持WalkonNet!
推薦閱讀:
- java實現圖片分割指定大小
- Spring Boot 2.x 實現文件上傳功能
- SpringBoot整合騰訊雲COS對象存儲實現文件上傳的示例代碼
- 如何用tempfile庫創建python進程中的臨時文件
- Java實戰之實現文件資料上傳並生成縮略圖