您好,登录后才能下订单哦!
密码登录
登录注册
点击 登录注册 即表示同意《亿速云用户服务条款》
小编给大家分享一下SpringBoot中如何验证用户上传的图片资源,相信大部分人都还不怎么了解,因此分享这篇文章给大家参考一下,希望大家阅读完这篇文章后大有收获,下面让我们一起去了解一下吧!
允许用户上传图片资源(头像,发帖)是APP常见的需求,特别需要把用户的资源IO到磁盘情况下,需要防止坏人提交一些非法的文件,例如木马,webshell,可执行程序等等。这类非法文件不仅会导致客户端图片资源显示失败,而且还会给服务器带来安全问题。
这种方式比较常见,也很简单,是目前大多数APP选择的做法。
public Object upload (@RequestParam("file") MultipartFile multipartFile) throws IllegalStateException, IOException {
// 原始文件名称
String fileName = multipartFile.getOriginalFilename();
// 解析到文件后缀,判断是否合法
int index = fileName.lastIndexOf(".");
String suffix = null;
if (index == -1 || (suffix = fileName.substring(index + 1)).isEmpty()) {
return "文件后缀不能为空";
}
// 允许上传的文件后缀列表
Set<String> allowSuffix = new HashSet<>(Arrays.asList("jpg", "jpeg", "png", "gif"));
if (!allowSuffix.contains(suffix.toLowerCase())) {
return "非法的文件,不允许的文件类型:" + suffix;
}
// 序列化到磁盘中的文件上传目录, /upload
// FileCopyUtils.copy 方法会自动关闭流资源
FileCopyUtils.copy(multipartFile.getInputStream(), Files.newOutputStream(Paths.get("D://upload", fileName), StandardOpenOption.CREATE_NEW));
// 返回相对访问路径,文件名极有可能带中文或者空格等字符,进行uri编码
return "/" + UriUtils.encode(fileName, StandardCharsets.UTF_8);
}这个方法就比较严格了,在判断后缀的基础上,使用Java的ImageIO类去加载图片,尝试读取其宽高信息,如果不是合法的图片资源。则无法读取到这两个数据。就算是把非法文件修改了后缀,也可以检测出来。
public Object upload (@RequestParam("file") MultipartFile multipartFile) throws IllegalStateException, IOException {
// 原始文件名称
String fileName = multipartFile.getOriginalFilename();
// 解析到文件后缀
int index = fileName.lastIndexOf(".");
String suffix = null;
if (index == -1 || (suffix = fileName.substring(index + 1)).isEmpty()) {
return "文件后缀不能为空";
}
// 允许上传的文件后缀列表
Set<String> allowSuffix = new HashSet<>(Arrays.asList("jpg", "jpeg", "png", "gif"));
if (!allowSuffix.contains(suffix.toLowerCase())) {
return "非法的文件,不允许的文件类型:" + suffix;
}
// 临时文件
File tempFile = new File(System.getProperty("java.io.tmpdir"), fileName);
try {
// 先把文件序列化到临时目录
multipartFile.transferTo(tempFile);
try {
// 尝试IO文件,判断文件的合法性
BufferedImage bufferedImage = ImageIO.read(tempFile);
bufferedImage.getWidth();
bufferedImage.getHeight();
} catch (Exception e) {
// IO异常,不是合法的图片文件,返回异常信息
return "文件不是图片文件";
}
// 复制到到上传目录
FileCopyUtils.copy(new FileInputStream(tempFile), Files.newOutputStream(Paths.get("D://upload", fileName), StandardOpenOption.CREATE_NEW));
// 返回相对访问路径
return "/" + UriUtils.encode(fileName, StandardCharsets.UTF_8);
} finally {
// 响应客户端后,始终删除临时文件
tempFile.delete();
}
}以上是“SpringBoot中如何验证用户上传的图片资源”这篇文章的所有内容,感谢各位的阅读!相信大家都有了一定的了解,希望分享的内容对大家有所帮助,如果还想学习更多知识,欢迎关注亿速云行业资讯频道!
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。