阿里云-云小站(无限量代金券发放中)
【腾讯云】云服务器、云数据库、COS、CDN、短信等热卖云产品特惠抢购

SpringBoot如何验证用户上传的图片资源

81次阅读
没有评论

共计 2359 个字符,预计需要花费 6 分钟才能阅读完成。

导读 这篇文章主要介绍了在 SpringBoot 中验证用户上传的图片资源, 本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下

SpringBoot 如何验证用户上传的图片资源

允许用户上传图片资源(头像,发帖)是 APP 常见的需求,特别需要把用户的资源 IO 到磁盘情况下,需要防止坏人提交一些非法的文件,例如木马,webshell,可执行程序等等。这类非法文件不仅会导致客户端图片资源显示失败,而且还会给服务器带来安全问题。

通过文件后缀判断文件的合法性

这种方式比较常见,也很简单,是目前大多数 APP 选择的做法。

public Object upload (@RequestParam("file") MultipartFile multipartFile) throws IllegalStateException, IOException {
     
    // 原始文件名称
    String fileName = multipartFile.getOriginalFilename();
     
    // 解析到文件后缀,判断是否合法
    int index = fileName.lastIndexOf(".");
    String suffix = null;
    if (index == -1 || (suffix = fileName.substring(index + 1)).isEmpty()) {return "文件后缀不能为空";}
     
    // 允许上传的文件后缀列表
    Set allowSuffix = new HashSet(Arrays.asList("jpg", "jpeg", "png", "gif"));
    if (!allowSuffix.contains(suffix.toLowerCase())) {return "非法的文件,不允许的文件类型:" + suffix;}
     
    // 序列化到磁盘中的文件上传目录,/upload
    // FileCopyUtils.copy 方法会自动关闭流资源
    FileCopyUtils.copy(multipartFile.getInputStream(), Files.newOutputStream(Paths.get("D://upload", fileName), StandardOpenOption.CREATE_NEW));
     
    // 返回相对访问路径,文件名极有可能带中文或者空格等字符,进行 uri 编码
    return  "/" + UriUtils.encode(fileName, StandardCharsets.UTF_8);
}
使用 ImageIO 判断是否是图片

这个方法就比较严格了,在判断后缀的基础上,使用 Java 的 ImageIO 类去加载图片,尝试读取其宽高信息,如果不是合法的图片资源。则无法读取到这两个数据。就算是把非法文件修改了后缀,也可以检测出来。

public Object upload (@RequestParam("file") MultipartFile multipartFile) throws IllegalStateException, IOException {
     
    // 原始文件名称
    String fileName = multipartFile.getOriginalFilename();
     
    // 解析到文件后缀
    int index = fileName.lastIndexOf(".");
    String suffix = null;
    if (index == -1 || (suffix = fileName.substring(index + 1)).isEmpty()) {return "文件后缀不能为空";}
     
    // 允许上传的文件后缀列表
    Set allowSuffix = new HashSet(Arrays.asList("jpg", "jpeg", "png", "gif"));
    if (!allowSuffix.contains(suffix.toLowerCase())) {return "非法的文件,不允许的文件类型:" + suffix;}
     
    // 临时文件
    File tempFile = new File(System.getProperty("java.io.tmpdir"), fileName);
     
    try {
        // 先把文件序列化到临时目录
        multipartFile.transferTo(tempFile);
        try {
            // 尝试 IO 文件,判断文件的合法性
            BufferedImage  bufferedImage = ImageIO.read(tempFile);
            bufferedImage.getWidth();
            bufferedImage.getHeight();} catch (Exception e) {
            // IO 异常,不是合法的图片文件,返回异常信息
            return "文件不是图片文件";
        }
        // 复制到到上传目录
        FileCopyUtils.copy(new FileInputStream(tempFile), Files.newOutputStream(Paths.get("D://upload", fileName), StandardOpenOption.CREATE_NEW));
        // 返回相对访问路径
        return  "/" + UriUtils.encode(fileName, StandardCharsets.UTF_8);
    } finally {
        // 响应客户端后,始终删除临时文件
        tempFile.delete();}
}
总结

使用 ImageIo 的方式更为保险,但是需要多几次 IO 操作。比较消耗性能。而且今天 APP 大都是用云存储服务,类似于阿里云的 OSS。直接就把客户端上传的文件 PUT 到了云端,才不管用户上传的图片是不是真正的图片,非法上传,最多导致客户端不能显示而已,但是威胁不了服务器的安全。

阿里云 2 核 2G 服务器 3M 带宽 61 元 1 年,有高配

腾讯云新客低至 82 元 / 年,老客户 99 元 / 年

代金券:在阿里云专用满减优惠券

正文完
星哥玩云-微信公众号
post-qrcode
 0
星锅
版权声明:本站原创文章,由 星锅 于2024-07-25发表,共计2359字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
【腾讯云】推广者专属福利,新客户无门槛领取总价值高达2860元代金券,每种代金券限量500张,先到先得。
阿里云-最新活动爆款每日限量供应
评论(没有评论)
验证码
【腾讯云】云服务器、云数据库、COS、CDN、短信等云产品特惠热卖中