图片上传是我们在日常开发中一个常见的需求，借助于现有框架，如:SpringMVC可以很容的实现，示例代码如下所示。

@RequestMapping(value = "/uploadImg", method = RequestMethod.POST)
public void uploadImg(MultipartFile file) {

    if (file.isEmpty()) {
          logger.info("文件为空");![img-security-result.png](http://upload-images.jianshu.io/upload_images/1205687-3b35fc24024f3688.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

          return;
    }   
    
    // 判断文件目录是否存在
    String pathSaveImg = "/pathSaveImg/";
    File imgDir = new File(pathSaveImg);
    if (!imgDir()) {
      try {
          imgDir.mkdir();
      } catch (Exception e) {
          logger.error("创建目录失败!e:{}", e);
      }
    
    }
    
    // 保存文件
    FileOutputStream outputStream = null;
    try {
      // 按实际业务规则生成图片文件名，此处仅作示例
      String imgFilename = pathSaveImg + getOriginalFilename
      File filePath = new File(imgFilename);
      outputStream = new FileOutputStream(filePath);
      outputStream.write(file.getBytes());
      outputStream.close();
    } finally {
      if (outputStream != null) {
          try {
              outputStream.close();
          } catch (IOException e) {
              logger.error("exception: {}", e);
          }
      }
    }
}

如上所示是一段常见的图片上传处理逻辑，但是这种处理存在以下几个方面的问题。

修改文件后缀名

上述代码未对上传的文件类型做任何校验处理，不能确保上传的文件一定是图片类型。如果被别用用心的攻击者上传一段恶意代码或者攻击脚本，会导致该文件直接保存在服务端，非常危险。

• 解决方案：对上传的文件做类型校验，以确保上传的文件为图片类型。那么如何对文件类型做校验呢？其实图片文件类型，如：jpg或png等，其文件签名信息中包含文件类型的特定信息(jpg/jpeg:FFD8FF;png:89504E47)等。常见文件签名信息可参见此链接。可以定义一个上传图片文件的白名单，然后验证文件签名信息是否在白名单中。

public final static Map<String, String> FILE_TYPE_MAP = new HashMap<>();

static {
    FILE_TYPE_MAP.put("jpg", "FFD8FF"); //JPEG (jpg)
    FILE_TYPE_MAP.put("png", "89504E47");  //PNG (png)
    FILE_TYPE_MAP.put("gif", "47494638");  //GIF (gif)
    FILE_TYPE_MAP.put("bmp", "424D"); //Windows Bitmap (bmp)
    
    //可在此处继续添加允许的文件类型
    ...
}

文件类型判断处理如下

/**
 * 获取文件类型
 *
 * @param b 文件字节流
 * @return 文件类型
 */
public final static String getFileTypeByStream(byte[] b) {

    String fileTypeHex = String.valueOf(getFileHexString(b));
    Iterator<Map.Entry<String, String>> entryIterator = FILE_TYPE_MAP.entrySet().iterator();
    while (entryIterator.hasNext()) {
        Map.Entry<String, String> entry = entryIterator.next();
        String fileTypeHexValue = entry.getValue();
        if (fileTypeHex.toUpperCase().startsWith(fileTypeHexValue)) {
            return entry.getKey();
        }
    }
    return null;


/**
 * 获取文件标识十六进制
 *
 * @param b 文件字节流
 * @return 文件标识
 */
public final static String getFileHexString(byte[] b) {
    StringBuilder stringBuilder = new StringBuilder();
    if (b == null || b.length <= 0) {
        return null;
    }
    for (int i = 0; i < b.length; i++) {
        int v = b[i] & 0xFF;
        String hv = Integer.toHexString(v);
        if (hv.length() < 2) {
            stringBuilder.append(0);
        }
        stringBuilder.append(hv);
    }
    return stringBuilder.toString();

经过以上处理后我们可以获取到上传的图片文件的真实类型是jpg或png等。
但是这个还是不够，虽然攻击者已无法通过修改后缀名来伪造文件，但依然可以通过手动修改文件签名信息来伪造上传文件。

修改文件签名信息

• 解决方案：针对修改文件签名信息伪造的文件，可以通过BufferedImage获取图片文件的宽、高属性来判定。对于真实的图片文件通过BufferedImage是可以获取到图片的实际宽、高值且值大于0；对于伪造的文件通过BufferedImage获取到的宽、高值为0。示例代码如下。

  /**
   * 判断输入流是否为图片
   *
   * @param ins 输入流
   * @return 是否为图片
   */
  public static final boolean isImage(InputStream ins) {
      boolean flag = false;
      try {
          BufferedImage bufreader = ImageIO.read(ins);
          int width = bufreader.getWidth();
          int height = bufreader.getHeight();
          if (width == 0 || height == 0) {
              flag = false;
          } else {
              flag = true;
          }
      } catch (IOException e) {
          flag = false;
      } catch (Exception e) {
          flag = false;
      }
      return flag;
  }
  
  

到此为止可以应对大部分的上传安全问题了，但是我们的步伐不能仅仅止步于此，还有一种情况。

向图片中添加恶意信息

向一张真正的图片中添加一些恶意的攻击信息并上传，截至目前该恶意文件会成功的保存到服务端。

img-security.png

• 解决方案：可以通过对原始文件进行resize处理破坏原有文件结构，从而达到去除恶意信息的目的。

/***
 * 对图片进行resize处理
 * @param source 原始图片
 * @param targetW 目标图片宽度
 * @param targetH 目标图片高度
 * @return
 */
public static BufferedImage resize(BufferedImage source, int targetW, int targetH) {

    // targetW，targetH分别表示目标长和宽
    int type = source.getType();
    BufferedImage target = null;
    double sx = (double) targetW / source.getWidth();
    double sy = (double) targetH / source.getHeight();

    // 实现在targetW，targetH范围内实现等比缩放。
    if (sx > sy) {
        sx = sy;
        targetW = (int) (sx * source.getWidth());
    } else {
        sy = sx;
        targetH = (int) (sy * source.getHeight());
    }
    if (type == BufferedImage.TYPE_CUSTOM) {
        ColorModel cm = source.getColorModel();
        WritableRaster raster = cm.createCompatibleWritableRaster(targetW, targetH);
        boolean alphaPremultiplied = cm.isAlphaPremultiplied();
        target = new BufferedImage(cm, raster, alphaPremultiplied, null);
    } else {
        target = new BufferedImage(targetW, targetH, type);
    }

    Graphics2D g = target.createGraphics();
    g.setRenderingHint(RenderingHints.KEY_RENDERING, RenderingHints.VALUE_RENDER_QUALITY);
    g.drawRenderedImage(source, AffineTransform.getScaleInstance(sx, sy));
    g.dispose();
    return target;

}

resize处理后的结果，文件尾部添加的信息已被清除掉

img-security-result.png

总结

针对图片文件上传处理可以从以下几个方面进行安全性处理：

• 获取真实文件扩展名
• 判断文件真实类型
• 对原始文件进行resize处理，破坏原有结构