判断文件上传时文件的类型

系统中需要用到文件上传的功能，但是从系统安全的角度上来说需要判断上传文件的格式，防止将病毒木马等有害的文件上传到服务器上。

判断文件类型有三种方式

1、通过文件后缀名

这个方法简单容易，但是也是最容易被欺骗的方法，修改文件的后缀名即可实现欺骗系统。

2、通过Content-Type判断

这个是通过判断文件的MIME类型进行判断，我们在通过form表单上传文件时，在上传的request域里面会获取当前文件的MIME类型，我们可以通过控制接收文件的MIME类型进行判断。spring为我们提供了注解方式进行判断：

@RequestMapping(value = "/users", method = RequestMethod.POST, consumes="application/json", produces="application/json")

consumes参数就是用来控制接收文件的Content-Type的。
具体的详情在下面的博客里面有详细的介绍：

http://blog.csdn.net/blueheart20/article/details/45174399

这个方法如果通过抓包的形式进行修改类型也不安全。

安全问题详解：

https://www.cnblogs.com/dunitian/p/5645339.html
注意：现在遇见一个问题就是在angular框架下通过consumes参数进行控制上传文件类型时，当错误类型时会产生415(不被允许的多媒体类型),但是正确类型时，会产生ERROR_CONNECTION_RESET连接重定向错误。(待解决)

3、通过文件流判断文件头

这个是我用在系统中的方法

实例代码如下：

(1)、获取文件头代码

     /** 
     * 将文件头转换成16进制字符串 
     *  
     * @param 原生byte 
     * @return 16进制字符串 
     */  
    private static String bytesToHexString(byte[] src) {  
  
        StringBuilder stringBuilder = new StringBuilder();  
        if (src == null || src.length <= 0) {  
            return null;  
        }  
        for (int i = 0; i < src.length; i++) {  
            int v = src[i] & 0xFF;  
            String hv = Integer.toHexString(v);  
            if (hv.length() < 2) {  
                stringBuilder.append(0);  
            }  
            stringBuilder.append(hv);  
        }  
        return stringBuilder.toString();  
    }

(2)、调用方法

InputStream inputStream = new FileInputStream("path");
byte[] bytes = new byte[6];
inputStream.read(bytes,0,bytes.length);
bytesToHexString(bytes);

(3)、获取文件头与指定文件头进行对比

例如：WAV("57415645")

经过这三个方式，对于文件上传的安全进行了保护，能够满足大部分系统。