SpringBoot + 文件类型校验 + 魔数检测:防止 .jpg 后缀上传 .exe,堵住安全漏洞
背景:文件上传的安全隐患
在 Web 应用中,文件上传功能是一个常见但又充满安全隐患的功能。攻击者可能通过以下方式绕过文件类型验证:
- 修改文件扩展名:将恶意文件(如
.exe)重命名为.jpg等允许的格式 - 修改 MIME 类型:在请求中伪造
Content-Type头 - 双扩展名攻击:使用
file.jpg.exe等形式绕过简单的扩展名检查
这些攻击可能导致:
- 服务器被植入恶意代码
- 网站被挂马
- 敏感信息泄露
- 系统被远程控制
本文将介绍如何使用 SpringBoot 实现文件类型校验和魔数检测,从根本上解决文件上传的安全问题。
核心概念
1. 魔数(Magic Number)
魔数是文件开头的几个字节,用于标识文件类型。不同类型的文件有不同的魔数:
| 文件类型 | 魔数(十六进制) | 对应 ASCII |
|---|---|---|
| JPEG | FF D8 FF | ÿØÿ |
| PNG | 89 50 4E 47 | .PNG |
| GIF | 47 49 46 38 | GIF8 |
| 25 50 44 46 | ||
| EXE | 4D 5A | MZ |
| ZIP | 50 4B 03 04 | PK.. |
2. 文件类型校验
文件类型校验应该从多个维度进行:
- 扩展名检查:检查文件后缀名
- MIME 类型检查:检查请求中的
Content-Type头 - 魔数检测:检查文件内容的魔数
- 文件内容分析:对于特定类型的文件,进行更深入的内容分析
3. 安全文件上传流程
- 客户端验证:在前端进行初步的文件类型检查
- 服务端验证:在服务端进行全面的文件类型校验
- 文件处理:对上传的文件进行处理和存储
- 访问控制:对上传的文件进行访问控制
技术实现
1. 文件类型配置
@Configuration
@ConfigurationProperties(prefix = "file.upload")
@Data
public class FileUploadProperties {
/**
* 允许的文件扩展名
*/
private Set<String> allowedExtensions = new HashSet<>(Arrays.asList(
"jpg", "jpeg", "png", "gif", "pdf", "doc", "docx", "xls", "xlsx", "txt"
));
/**
* 允许的 MIME 类型
*/
private Set<String> allowedMimeTypes = new HashSet<>(Arrays.asList(
"image/jpeg", "image/png", "image/gif",
"application/pdf", "application/msword", "application/vnd.openxmlformats-officedocument.wordprocessingml.document",
"application/vnd.ms-excel", "application/vnd.openxmlformats-officedocument.spreadsheetml.sheet",
"text/plain"
));
/**
* 最大文件大小(字节)
*/
private long maxFileSize = 10 * 1024 * 1024; // 10MB
/**
* 上传目录
*/
private String uploadDir = "upload";
}
2. 魔数检测服务
@Service
@Slf4j
public class MagicNumberDetector {
/**
* 常见文件类型的魔数映射
*/
private final Map<String, byte[]> magicNumbers = new HashMap<>();
/**
* 文件扩展名到 MIME 类型的映射
*/
private final Map<String, String> extensionToMimeType = new HashMap<>();
@PostConstruct
public void init() {
// 初始化魔数映射
magicNumbers.put("JPEG", new byte[]{(byte) 0xFF, (byte) 0xD8, (byte) 0xFF});
magicNumbers.put("PNG", new byte[]{(byte) 0x89, 0x50, 0x4E, 0x47});
magicNumbers.put("GIF", new byte[]{0x47, 0x49, 0x46, 0x38});
magicNumbers.put("PDF", new byte[]{0x25, 0x50, 0x44, 0x46});
magicNumbers.put("EXE", new byte[]{0x4D, 0x5A});
magicNumbers.put("ZIP", new byte[]{0x50, 0x4B, 0x03, 0x04});
magicNumbers.put("DOC", new byte[]{0xD0, 0xCF, 0x11, 0xE0, 0xA1, 0xB1, 0x1A, 0xE1});
magicNumbers.put("DOCX", new byte[]{0x50, 0x4B, 0x03, 0x04});
magicNumbers.put("XLS", new byte[]{0xD0, 0xCF, 0x11, 0xE0, 0xA1, 0xB1, 0x1A, 0xE1});
magicNumbers.put("XLSX", new byte[]{0x50, 0x4B, 0x03, 0x04});
// 初始化扩展名到 MIME 类型的映射
extensionToMimeType.put("jpg", "image/jpeg");
extensionToMimeType.put("jpeg", "image/jpeg");
extensionToMimeType.put("png", "image/png");
extensionToMimeType.put("gif", "image/gif");
extensionToMimeType.put("pdf", "application/pdf");
extensionToMimeType.put("doc", "application/msword");
extensionToMimeType.put("docx", "application/vnd.openxmlformats-officedocument.wordprocessingml.document");
extensionToMimeType.put("xls", "application/vnd.ms-excel");
extensionToMimeType.put("xlsx", "application/vnd.openxmlformats-officedocument.spreadsheetml.sheet");
extensionToMimeType.put("txt", "text/plain");
}
/**
* 检测文件类型
*/
public FileTypeInfo detectFileType(InputStream inputStream) throws IOException {
// 读取文件前 10 个字节
byte[] buffer = new byte[10];
int bytesRead = inputStream.read(buffer);
if (bytesRead == -1) {
throw new IOException("Empty file");
}
// 重置输入流
inputStream.reset();
// 检测魔数
String detectedType = detectMagicNumber(buffer);
String mimeType = getMimeTypeFromFileType(detectedType);
return FileTypeInfo.builder()
.fileType(detectedType)
.mimeType(mimeType)
.build();
}
/**
* 检测魔数
*/
private String detectMagicNumber(byte[] buffer) {
for (Map.Entry<String, byte[]> entry : magicNumbers.entrySet()) {
String fileType = entry.getKey();
byte[] magicNumber = entry.getValue();
if (buffer.length >= magicNumber.length) {
boolean match = true;
for (int i = 0; i < magicNumber.length; i++) {
if (buffer[i] != magicNumber[i]) {
match = false;
break;
}
}
if (match) {
return fileType;
}
}
}
return "UNKNOWN";
}
/**
* 根据文件类型获取 MIME 类型
*/
private String getMimeTypeFromFileType(String fileType) {
switch (fileType) {
case "JPEG":
return "image/jpeg";
case "PNG":
return "image/png";
case "GIF":
return "image/gif";
case "PDF":
return "application/pdf";
case "EXE":
return "application/x-msdownload";
case "ZIP":
return "application/zip";
case "DOC":
return "application/msword";
case "DOCX":
return "application/vnd.openxmlformats-officedocument.wordprocessingml.document";
case "XLS":
return "application/vnd.ms-excel";
case "XLSX":
return "application/vnd.openxmlformats-officedocument.spreadsheetml.sheet";
default:
return "application/octet-stream";
}
}
/**
* 根据扩展名获取 MIME 类型
*/
public String getMimeTypeFromExtension(String extension) {
return extensionToMimeType.getOrDefault(extension.toLowerCase(), "application/octet-stream");
}
/**
* 验证文件类型是否与扩展名匹配
*/
public boolean isFileTypeMatchExtension(InputStream inputStream, String extension) throws IOException {
FileTypeInfo fileTypeInfo = detectFileType(inputStream);
String expectedMimeType = getMimeTypeFromExtension(extension);
return fileTypeInfo.getMimeType().equals(expectedMimeType);
}
}
3. 文件类型校验服务
@Service
@Slf4j
public class FileValidationService {
@Autowired
private FileUploadProperties fileUploadProperties;
@Autowired
private MagicNumberDetector magicNumberDetector;
/**
* 验证文件
*/
public void validateFile(MultipartFile file) throws FileValidationException {
// 1. 检查文件是否为空
if (file.isEmpty()) {
throw new FileValidationException("文件不能为空");
}
// 2. 检查文件大小
if (file.getSize() > fileUploadProperties.getMaxFileSize()) {
throw new FileValidationException("文件大小超过限制");
}
// 3. 检查文件扩展名
String originalFilename = file.getOriginalFilename();
String extension = getFileExtension(originalFilename);
if (!fileUploadProperties.getAllowedExtensions().contains(extension.toLowerCase())) {
throw new FileValidationException("不允许的文件扩展名");
}
// 4. 检查 MIME 类型
String contentType = file.getContentType();
if (!fileUploadProperties.getAllowedMimeTypes().contains(contentType)) {
throw new FileValidationException("不允许的文件类型");
}
// 5. 魔数检测
try (InputStream inputStream = file.getInputStream()) {
// 包装输入流,支持 mark/reset
BufferedInputStream bufferedInputStream = new BufferedInputStream(inputStream);
bufferedInputStream.mark(10);
FileTypeInfo fileTypeInfo = magicNumberDetector.detectFileType(bufferedInputStream);
// 检查文件类型是否为允许的类型
if ("EXE".equals(fileTypeInfo.getFileType())) {
throw new FileValidationException("不允许上传可执行文件");
}
// 检查文件类型是否与扩展名匹配
if (!magicNumberDetector.isFileTypeMatchExtension(bufferedInputStream, extension)) {
throw new FileValidationException("文件类型与扩展名不匹配");
}
} catch (IOException e) {
throw new FileValidationException("文件读取失败", e);
}
}
/**
* 获取文件扩展名
*/
private String getFileExtension(String filename) {
if (filename == null || !filename.contains(".")) {
return "";
}
return filename.substring(filename.lastIndexOf(".") + 1);
}
/**
* 生成安全的文件名
*/
public String generateSafeFilename(String originalFilename) {
String extension = getFileExtension(originalFilename);
String filename = UUID.randomUUID().toString();
if (!extension.isEmpty()) {
filename += "." + extension;
}
return filename;
}
/**
* 保存文件
*/
public String saveFile(MultipartFile file) throws FileValidationException {
// 验证文件
validateFile(file);
// 生成安全的文件名
String safeFilename = generateSafeFilename(file.getOriginalFilename());
// 确保上传目录存在
File uploadDir = new File(fileUploadProperties.getUploadDir());
if (!uploadDir.exists()) {
uploadDir.mkdirs();
}
// 保存文件
File destFile = new File(uploadDir, safeFilename);
try {
file.transferTo(destFile);
} catch (IOException e) {
throw new FileValidationException("文件保存失败", e);
}
return safeFilename;
}
}
4. 文件上传控制器
@RestController
@RequestMapping("/api/file")
@Slf4j
public class FileUploadController {
@Autowired
private FileValidationService fileValidationService;
@Autowired
private FileUploadProperties fileUploadProperties;
/**
* 单文件上传
*/
@PostMapping("/upload")
public Result<String> uploadFile(@RequestParam("file") MultipartFile file) {
try {
String filename = fileValidationService.saveFile(file);
String fileUrl = "/uploads/" + filename;
return Result.success(fileUrl);
} catch (FileValidationException e) {
log.error("File upload failed: {}", e.getMessage(), e);
return Result.error(e.getMessage());
}
}
/**
* 多文件上传
*/
@PostMapping("/upload/multiple")
public Result<List<String>> uploadMultipleFiles(@RequestParam("files") MultipartFile[] files) {
List<String> fileUrls = new ArrayList<>();
for (MultipartFile file : files) {
try {
String filename = fileValidationService.saveFile(file);
String fileUrl = "/uploads/" + filename;
fileUrls.add(fileUrl);
} catch (FileValidationException e) {
log.error("File upload failed: {}", e.getMessage(), e);
return Result.error(e.getMessage());
}
}
return Result.success(fileUrls);
}
/**
* 获取文件
*/
@GetMapping("/download/{filename}")
public void downloadFile(@PathVariable String filename, HttpServletResponse response) {
File file = new File(fileUploadProperties.getUploadDir(), filename);
if (!file.exists()) {
response.setStatus(HttpStatus.NOT_FOUND.value());
return;
}
try {
// 设置响应头
response.setContentType("application/octet-stream");
response.setHeader("Content-Disposition", "attachment; filename=" + URLEncoder.encode(filename, "UTF-8"));
// 读取文件并写入响应
Files.copy(file.toPath(), response.getOutputStream());
} catch (IOException e) {
log.error("File download failed: {}", e.getMessage(), e);
response.setStatus(HttpStatus.INTERNAL_SERVER_ERROR.value());
}
}
}
5. 异常处理
public class FileValidationException extends RuntimeException {
public FileValidationException(String message) {
super(message);
}
public FileValidationException(String message, Throwable cause) {
super(message, cause);
}
}
@ControllerAdvice
@Slf4j
public class GlobalExceptionHandler {
@ExceptionHandler(FileValidationException.class)
@ResponseBody
public Result<String> handleFileValidationException(FileValidationException e) {
return Result.error(e.getMessage());
}
@ExceptionHandler(Exception.class)
@ResponseBody
public Result<String> handleException(Exception e) {
log.error("Unexpected error: {}", e.getMessage(), e);
return Result.error("系统内部错误");
}
}
6. 配置类
@Configuration
public class WebConfig implements WebMvcConfigurer {
@Autowired
private FileUploadProperties fileUploadProperties;
@Override
public void addResourceHandlers(ResourceHandlerRegistry registry) {
// 配置静态资源访问
registry.addResourceHandler("/uploads/**")
.addResourceLocations("file:" + fileUploadProperties.getUploadDir() + "/");
}
@Bean
public MultipartConfigElement multipartConfigElement() {
MultipartConfigFactory factory = new MultipartConfigFactory();
// 设置文件大小限制
factory.setMaxFileSize(DataSize.ofBytes(fileUploadProperties.getMaxFileSize()));
factory.setMaxRequestSize(DataSize.ofBytes(fileUploadProperties.getMaxFileSize() * 2));
return factory.createMultipartConfig();
}
}
核心流程
1. 文件上传流程
- 客户端发起上传请求:选择文件并提交表单
- 服务端接收文件:通过
MultipartFile接收文件 - 文件验证:
- 检查文件是否为空
- 检查文件大小
- 检查文件扩展名
- 检查 MIME 类型
- 魔数检测
- 验证文件类型与扩展名是否匹配
- 文件处理:
- 生成安全的文件名
- 保存文件到指定目录
- 返回结果:返回文件访问 URL
2. 魔数检测流程
- 读取文件头部:读取文件前 10 个字节
- 匹配魔数:将读取的字节与已知的魔数进行匹配
- 确定文件类型:根据匹配结果确定文件类型
- 验证文件类型:检查文件类型是否为允许的类型
- 验证扩展名匹配:检查文件类型是否与扩展名匹配
技术要点
1. 安全文件上传的关键
- 多维度验证:从扩展名、MIME 类型、魔数等多个维度进行验证
- 魔数检测:通过文件内容的魔数来判断文件类型,这是最可靠的方法
- 安全文件名:使用 UUID 生成文件名,避免文件名注入攻击
- 文件大小限制:防止恶意用户上传过大的文件导致服务器资源耗尽
- 访问控制:对上传的文件进行适当的访问控制
2. 魔数检测的优势
- 不受扩展名影响:即使修改文件扩展名,魔数检测仍然可以正确识别文件类型
- 不受 MIME 类型影响:即使伪造
Content-Type头,魔数检测仍然可以正确识别文件类型 - 准确性高:魔数是文件的固有属性,不会被轻易修改
- 性能好:只需要读取文件的前几个字节,不会读取整个文件
3. 防止绕过的措施
- 禁止执行权限:对上传目录设置禁止执行权限
- 文件隔离:将上传的文件存储在非 Web 根目录
- 内容扫描:对于特定类型的文件,进行更深入的内容扫描
- 日志记录:记录文件上传的详细信息,便于审计和追踪
- 定期清理:定期清理过期的上传文件
最佳实践
1. 文件类型配置
- 最小化原则:只允许必要的文件类型
- 明确配置:清晰配置允许的文件扩展名和 MIME 类型
- 定期更新:根据业务需求定期更新文件类型配置
2. 安全存储
- 独立存储:将上传的文件存储在独立的存储系统中
- 访问控制:对存储的文件设置适当的访问控制
- 备份策略:定期备份上传的文件
- 加密存储:对于敏感文件,考虑加密存储
3. 监控与审计
- 上传监控:监控文件上传的频率和大小
- 异常检测:检测异常的文件上传行为
- 审计日志:记录文件上传的详细信息
- 定期检查:定期检查上传的文件,发现异常及时处理
4. 前端验证
- 客户端验证:在前端进行初步的文件类型检查
- 文件大小限制:在前端限制文件大小
- 文件类型提示:明确提示用户允许的文件类型
- 进度显示:提供文件上传进度显示
常见问题
1. 魔数检测失败
问题:某些文件的魔数可能与预期不符
解决方案:
- 扩展魔数库,支持更多文件类型
- 对于特殊文件类型,使用更复杂的内容分析
2. 文件类型识别错误
问题:某些文件可能具有相同的魔数
解决方案:
- 结合文件扩展名和 MIME 类型进行综合判断
- 对于复杂的文件类型,使用更深入的内容分析
3. 性能问题
问题:魔数检测需要读取文件内容,可能影响性能
解决方案:
- 只读取文件的前几个字节,避免读取整个文件
- 使用缓冲流,减少 I/O 操作
- 对于大文件,考虑使用异步处理
4. 存储安全
问题:上传的文件可能被恶意访问
解决方案:
- 设置文件存储目录的访问权限
- 使用安全的文件命名策略
- 对敏感文件进行加密存储
- 实现文件访问控制机制
代码优化建议
1. 魔数库扩展
// 扩展魔数库,支持更多文件类型
private void initMagicNumbers() {
// 图片类型
magicNumbers.put("JPEG", new byte[]{(byte) 0xFF, (byte) 0xD8, (byte) 0xFF});
magicNumbers.put("PNG", new byte[]{(byte) 0x89, 0x50, 0x4E, 0x47});
magicNumbers.put("GIF", new byte[]{0x47, 0x49, 0x46, 0x38});
magicNumbers.put("WebP", new byte[]{0x52, 0x49, 0x46, 0x46, 0x00, 0x00, 0x00, 0x00, 0x57, 0x45, 0x42, 0x50});
// 文档类型
magicNumbers.put("PDF", new byte[]{0x25, 0x50, 0x44, 0x46});
magicNumbers.put("DOC", new byte[]{0xD0, 0xCF, 0x11, 0xE0, 0xA1, 0xB1, 0x1A, 0xE1});
magicNumbers.put("DOCX", new byte[]{0x50, 0x4B, 0x03, 0x04});
magicNumbers.put("XLS", new byte[]{0xD0, 0xCF, 0x11, 0xE0, 0xA1, 0xB1, 0x1A, 0xE1});
magicNumbers.put("XLSX", new byte[]{0x50, 0x4B, 0x03, 0x04});
magicNumbers.put("PPT", new byte[]{0xD0, 0xCF, 0x11, 0xE0, 0xA1, 0xB1, 0x1A, 0xE1});
magicNumbers.put("PPTX", new byte[]{0x50, 0x4B, 0x03, 0x04});
// 压缩文件
magicNumbers.put("ZIP", new byte[]{0x50, 0x4B, 0x03, 0x04});
magicNumbers.put("RAR", new byte[]{0x52, 0x61, 0x72, 0x21, 0x1A, 0x07, 0x00});
magicNumbers.put("7Z", new byte[]{0x37, 0x7A, 0xBC, 0xAF, 0x27, 0x1C});
// 可执行文件
magicNumbers.put("EXE", new byte[]{0x4D, 0x5A});
magicNumbers.put("ELF", new byte[]{0x7F, 0x45, 0x4C, 0x46});
}
2. 缓存优化
@Service
@Slf4j
public class MagicNumberDetector {
// 使用缓存存储已检测的文件类型
private final Cache<String, FileTypeInfo> fileTypeCache = CacheBuilder.newBuilder()
.maximumSize(1000)
.expireAfterWrite(10, TimeUnit.MINUTES)
.build();
/**
* 检测文件类型(带缓存)
*/
public FileTypeInfo detectFileType(InputStream inputStream) throws IOException {
// 计算文件的哈希值作为缓存键
String fileHash = calculateFileHash(inputStream);
inputStream.reset();
// 从缓存获取
FileTypeInfo fileTypeInfo = fileTypeCache.getIfPresent(fileHash);
if (fileTypeInfo != null) {
return fileTypeInfo;
}
// 检测文件类型
fileTypeInfo = doDetectFileType(inputStream);
// 存入缓存
fileTypeCache.put(fileHash, fileTypeInfo);
return fileTypeInfo;
}
// 其他方法...
}
3. 异步处理
@Service
@Slf4j
public class FileValidationService {
@Autowired
private ExecutorService executorService;
/**
* 异步验证文件
*/
public CompletableFuture<String> validateFileAsync(MultipartFile file) {
return CompletableFuture.supplyAsync(() -> {
try {
return saveFile(file);
} catch (FileValidationException e) {
throw new CompletionException(e);
}
}, executorService);
}
// 其他方法...
}
总结
本文介绍了如何使用 SpringBoot 实现文件类型校验和魔数检测,从根本上解决文件上传的安全问题。核心要点:
- 多维度验证:从扩展名、MIME 类型、魔数等多个维度进行验证
- 魔数检测:通过文件内容的魔数来判断文件类型,这是最可靠的方法
- 安全处理:生成安全的文件名,设置文件大小限制,进行访问控制
- 最佳实践:遵循最小化原则,定期更新配置,进行监控与审计
通过这些措施,可以有效防止攻击者通过修改文件扩展名等方式上传恶意文件,堵住文件上传的安全漏洞,保护系统安全。
互动话题
- 你在实际项目中遇到过哪些文件上传的安全问题?
- 除了魔数检测,你还使用过哪些文件类型验证方法?
- 对于大文件上传,你有什么好的处理方案?
欢迎在评论区交流讨论!
欢迎关注公众号:服务端技术精选,获取更多技术分享和经验。
标题:SpringBoot + 文件类型校验 + 魔数检测:防止 .jpg 后缀上传 .exe,堵住安全漏洞
作者:jiangyi
地址:http://www.jiangyi.space/articles/2026/03/18/1773584800047.html
公众号:服务端技术精选
- 背景:文件上传的安全隐患
- 核心概念
- 1. 魔数(Magic Number)
- 2. 文件类型校验
- 3. 安全文件上传流程
- 技术实现
- 1. 文件类型配置
- 2. 魔数检测服务
- 3. 文件类型校验服务
- 4. 文件上传控制器
- 5. 异常处理
- 6. 配置类
- 核心流程
- 1. 文件上传流程
- 2. 魔数检测流程
- 技术要点
- 1. 安全文件上传的关键
- 2. 魔数检测的优势
- 3. 防止绕过的措施
- 最佳实践
- 1. 文件类型配置
- 2. 安全存储
- 3. 监控与审计
- 4. 前端验证
- 常见问题
- 1. 魔数检测失败
- 2. 文件类型识别错误
- 3. 性能问题
- 4. 存储安全
- 代码优化建议
- 1. 魔数库扩展
- 2. 缓存优化
- 3. 异步处理
- 总结
- 互动话题
评论
0 评论
