如何实现文件的安全上传？

介绍

项目中常会遇到需要文件上传和下载的地方，其中文件上传的安全问题不可忽视，下面是我考虑到的文件上传安全问题和用编码实现的过程

• 对文件大小的判断，防止恶意上传大文件挤占服务器资源

• 对文件类型的判断，这里实现的是对图片的判断

• 对图片进行resize处理，防止图片嵌入恶意可执行的代码，通过压缩可以实现对嵌入可代码的破坏

• 文件保存的地址有两种，一个就是借助第三方服务器进行保存（七牛云），或者是放在自己的服务器，在成功读取文件后，进行保存的时候，可以对文件名进行修改，采用随机数，一定程度上提高了安全性

• 文件服务器和应用服务器的分开，避免对应用程序的直接破坏

• 文件夹权限的设置，对用户上传的文件夹设置只读权限，可以有效防止远端直接启动木马程序

• 当然，假如这个功能不需要，直接关闭文件上传功能是最安全的

  ---

  ​

编码

此Demo实现文件上传的读取保存，并在数据库中插入数据

项目目录

pom.xml

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.3.5.RELEASE</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.dev</groupId>
    <artifactId>springboot-file-upload-download</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>springboot-file-upload-download</name>
    <description>Demo project for Spring Boot</description>

    <properties>
        <java.version>1.8</java.version>
    </properties>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-devtools</artifactId>
            <scope>runtime</scope>
            <optional>true</optional>
        </dependency>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <optional>true</optional>
        </dependency>

        <!-- springboot整合thymeleaf-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>

        <!--mysql连接-->
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>

        <!--mybatis-->
        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>2.1.2</version>
        </dependency>
        <!--druid-->
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid</artifactId>
            <version>1.1.1</version>
        </dependency>
        <!--fastjson-->
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.57</version>
        </dependency>
        <!--thumbnailator-->
        <dependency>
            <groupId>net.coobird</groupId>
            <artifactId>thumbnailator</artifactId>
            <version>0.4.8</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
            <exclusions>
                <exclusion>
                    <groupId>org.junit.vintage</groupId>
                    <artifactId>junit-vintage-engine</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>
</project>

单文件上传的测试

/**
 * 单文件上传
 * @param file 前端传文件的参数
 * @return
 */
@RequestMapping("/upload")
public String upload(@RequestParam("file") MultipartFile file,HttpServletRequest request) {
    FileDoc fileDoc = new FileDoc();
    try {
        if (file.isEmpty()) {
            return "文件为空";
        }
        //获取大小
        long size = file.getSize();
        log.info("文件大小：" + size);
        //判断文件上传大小
        if (!FileUtils.checkFileSize(file, 20, "M")) {
            log.info("上传文件规定小于20MB");
            return "上传文件规定小于20MB";
        }
        //获取文件名
        String filename = file.getOriginalFilename();
        log.info("上传的文件名为：" + filename);
        //获取文件后缀名
        String suffixName = filename.substring(filename.lastIndexOf("."));
        log.info("文件的后后缀名：" + suffixName);

        //若要判断文件上传的类型，
        //生成新文件名 6位随机数+文件后缀名
        fileDoc.setFile_name(CodeGenerateUtil.generateVerCode(6).toString()+suffixName);

        //拿到ip地址
        fileDoc.setIp_addr(request.getRemoteAddr());

        File dest = new File(FILEPATH+fileDoc.getFile_name());
        //检测目录是否存在
        if (!dest.getParentFile().exists()) {
            dest.getParentFile().mkdirs(); //新建文件夹
        }
        file.transferTo(dest); //文件写入
        int i = fileDocService.uploadFile(fileDoc);

        if (i > 0){
            return "文件上传成功";
        }else {
            return "文件上传失败";
        }
    } catch (IllegalStateException e) {
        e.printStackTrace();
    } catch (IOException e) {
        e.printStackTrace();
    }

    return "上传失败";
}

FileUtils.java

package com.dev.util;

import org.springframework.web.multipart.MultipartFile;

/**
 * @author 路飞
 * @create 2020/11/1
 */

public class FileUtils {
        /**
         *检查文件大小
         * @param file
         * @param size
         * @param unit
         * @return
         */
        public static boolean checkFileSize(MultipartFile file,int size,String unit){
                long len = file.getSize();
                double fileSize = 0;
                if ("B".equals(unit.toUpperCase())){
                        fileSize = len;
                }else if ("k".equals(unit.toUpperCase())){
                        fileSize = (double)len / 1024;
                }else if ("M".equals(unit.toUpperCase())){
                        fileSize = (double)len / 1048576;
                }else if ("G".equals(unit.toUpperCase())){
                        fileSize = (double)len / 1073741824;
                }
                if (fileSize > size){
                        return false;
                }
                return true;
        }

}

效果图：

测试超过上传要求的文件

测试多文件上传

在进行多文件上传的时候，会对每个文件进行校验，不符合上传要求的会直接返回

测试文件下载就不测试了，这里提供两种方法，第一种就是直接利用IO直接读取文件，进行数据传输，第二种就是直接利用springboot的资源映射配置类，把服务器的文件资源映射到互联网上，直接请求路径即可下载文件

WebMvcConfigurer.java

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.ResourceHandlerRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;

@Configuration
public class WebMvcConfigurer extends WebMvcConfigurerAdapter {
 
    @Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {
        //和页面有关的静态目录都放在项目的static目录下
        registry.addResourceHandler("/static/**").addResourceLocations("classpath:/static/");
        //上传的图片在C盘下的image目录下，访问路径如：https://localhost:443/image/d3cf0281-bb7f-40e0-ab77-406db95ccf2c.jpg
        //其中OTA表示访问的前缀。"file:D:/OTA/"是文件真实的存储路径
        registry.addResourceHandler("/image/**").addResourceLocations("file:C:/image/");
        registry.addResourceHandler("/lost/**").addResourceLocations("file:C:/lost/");
    }
}

最后，是对图片上传的测试，这里引入谷歌的Thumbnailator，对图片进行压缩处理，破坏掉嵌入可执行代码

@RequestMapping("/uploadImage")
  public String upload(@RequestParam("file") MultipartFile file, HttpServletRequest request) {
      FileDoc fileDoc = new FileDoc();
      try {
          if (file.isEmpty()) {
              return "文件为空";
          }
          //获取大小
          long size = file.getSize();
          log.info("文件大小：" + size);
          //判断文件上传大小
          if (!FileUtils.checkFileSize(file, 10, "M")) {
              log.info("上传文件规定小于10MB");
              return "上传文件规定小于10MB";
          }
          //获取文件名
          String filename = file.getOriginalFilename();
          log.info("上传的文件名为：" + filename);
          //获取文件后缀名
          String suffixName = filename.substring(filename.lastIndexOf("."));
          log.info("文件的后后缀名：" + suffixName);

          //判断文件是否为图片
          if (!ImageTypeUtils.checkImageUtils(suffixName)){
              return "请上传图片格式为jpg,png,gif的图片";
          }

          //生成新文件名 6位随机数+文件后缀名
          fileDoc.setFile_name(CodeGenerateUtil.generateVerCode(6).toString()+suffixName);
          //拿到ip地址
          fileDoc.setIp_addr(request.getRemoteAddr());

          File dest = new File(FILEPATH+fileDoc.getFile_name());
          //检测目录是否存在
          if (!dest.getParentFile().exists()) {
              dest.getParentFile().mkdirs(); //新建文件夹
          }
          file.transferTo(dest); //文件写入

          //利用Thumbnails对图片进行resize
          Thumbnails.of(FILEPATH+fileDoc.getFile_name())
                  .scale(1f)
                  .outputQuality(0.7F)
                  .toFile(FILEPATH+fileDoc.getFile_name());
          log.info("图片压缩成功");

          int i = fileDocService.uploadFile(fileDoc);
          if (i > 0){
              return "文件上传成功";
          }else {
              return "文件上传失败";
          }
      } catch (IllegalStateException e) {
          e.printStackTrace();
      } catch (IOException e) {
          e.printStackTrace();
      }

      return "上传失败";
  }

Thumbnails的使用方法

scale: 按照比例进行缩放。范围：0.0~N。
scale(0.5) 宽高比例都是50%缩放 , scale(1,0.5) 宽不变，高为50%缩放

Thumbnails.of("原图文件的路径")
.scale(1F) //1F不缩放
.outputQuality(0.7F)  //图片品质 0-1 靠近1质量越高
.watermark(Positions.BOTTOM_RIGHT, ImageIO.read(水印), 0.5f)
.toFile("转换后文件的路径");

格式的校验

成功上传后会对图片进行压缩

自己写的一个简单的Demo，未考虑的安全问题还有很多，对Java初学者应该会很有帮助。

详细代码见Github：

Github项目地址