zoukankan      html  css  js  c++  java
  • 对上传的图片进行格式校验以及安全性校验

    对上传的图片进行格式校验以及安全性校验

    图片上传服务器后,需要对其进行安全校验

    判断上传的是否是图片

    通过后缀名进行判断

    • 最基本的校验:校验文件的后缀名是否符合要求的格式。
    • 这种非常的不靠谱,完全可以修改文件的后缀名绕过检验。
    public static bool CheckUpLoadFileExtension(string fileName)
    {
        string fileExtension = System.IO.Path.GetExtension(fileName).Trim().ToLower();
    
        // 允许的文件后缀
        HashSet<string> hs = new HashSet<string> { ".bmp", ".gif", ".png", ".jpeg", ".jpg" };
    
        return hs.Contains(fileExtension);
    }
    
    

    通过文件头

    • 图片文件在头部信息 (一般都会在图片文件最开始的几个字节) 中都会包含图片的格式信息
    /// <summary>
    /// 图片类型帮助类
    /// </summary>
    public class ImageFormatHelper
    {
    
        /// <summary>
        /// 获取图片类型
        /// </summary>
        /// <param name="bytes"></param>
        /// <returns></returns>
        public static PictureFormat GetPictureFormat(byte[] bytes)
        {
            if (bytes == null || bytes.Length < 2)
            {
                return PictureFormat.UNKNOWN;
            }
    
            if (Enum.TryParse($"{bytes[0]}{bytes[1]}", out PictureFormat format))
            {
                if (Enum.IsDefined(typeof(PictureFormat), format))
                {
                    return format;
                }
            }
    
            return PictureFormat.UNKNOWN;
        }
    
    
        public enum PictureFormat
        {
            BMP = 6677,
            GIF = 7173,
            WEBP = 8273,
            PNG = 13780,
            JPG = 255216,
            UNKNOWN = 0
        }
    
    }
    
    
    // 判断图片类型
    PictureFormat imageFormat = ImageFormatHelper.GetPictureFormat(uploadFileBytes);
    
    if (imageFormat != PictureFormat.GIF
        && imageFormat != PictureFormat.JPG
        && imageFormat != PictureFormat.PNG)
    {
        result = $"图片格式为 {imageFormat} ,请重新上传";
        return result;
    }
    

    通过 ImageIO 判断

    • 通过数据流创建 Image 对象,能够正常创建对象。
    • 如果是 webp 图片, 使用 Image.FromStream 读取图片会发生异常。
    System.Drawing.Image MyImage = System.Drawing.Image.FromStream(file.InputStream);
    

    图片文件的安全检查处理

    通过上面的方法,确认上传的文件是图片了,但是如果在可以正常打开的图片里面加入非法代码或者病毒,那就非常危险了。

    那么怎么可以预防这种情况,既能够正常打开,又能获取图片的宽高等属性,可以对图片进行重写,新生成的图片不会有这种恶意代码了。

    给图片加水印

    可以将透明度调为0,乍一看跟原图一样,其实不是上面的那张原图了

    备注

    参考链接

  • 相关阅读:
    [国家集训队]拉拉队排练 Manancher_前缀和_快速幂
    高手过愚人节 Manancher模板题_双倍经验
    [模板]manacher算法
    [POI2011]MET-Meteors 整体二分_树状数组_卡常
    [国家集训队]矩阵乘法 整体二分
    三维偏序(陌上花开) CDQ分治
    博客园美化之旅第一天(CSS图层关系,背景相关设置,字体相关设置)
    力扣题目解答自我总结(反转类题目)
    python插件,pycharm基本用法,markdown文本编写,jupyter notebook的基本操作汇总
    关于小程序websocket全套解决方案,Nginx代理wss
  • 原文地址:https://www.cnblogs.com/frank-zhang/p/14234689.html
Copyright © 2011-2022 走看看