Implementieren Datei Upload-Typ in Java

Question

Ich habe meine Datei Upload-Typ beschränkt auf nur TXT mit. So

FormFile fileObj = null; 

, selbst wenn jemand eine exe-Datei in txt-Datei ändert und versucht, es zu laden Ich bin in der Lage, das zu herauszufiltern mit Hilfe von AutoDetectParser,ParseContext,metadata.

Jetzt habe ich eine Batch-Datei, die nach dem Konvertieren in TXT, erfolgreich hochgeladen wird.

Der Inhaltstyp dieser Datei ist text/plain das gleiche für txt.

Jetzt, Wie kann ich diese Datei vom Hochladen beschränken? Hat jede Art von Dateiinhalt eine Signatur, aufgrund derer wir die hochgeladene Datei unterscheiden können? Ist es möglich, diese Java-Datei, Batch-Datei nach der Umwandlung in txt zu beschränken?

Answer 1

Ich nehme an, Sie sprechen über Windows-Batch-Dateien. Diese haben keine Kopfzeile oder andere Eigenschaft, die sie von "normalen" Textdateien genau unterscheidbar machen würde. Batch-Dateien sind, in der Tat "normale" Textdateien, d. H. Sie sind normalerweise einfache ASCII-Dateien. Um sie zu entdecken, könnte man sich beliebig komplexe Heuristiken vorstellen - mit unterschiedlicher Erfolgsquote - also, nein, man kann sie nicht zuverlässig erkennen.

Sie können Batch-Dateien auch nicht wirklich "beschränken", OK, vielleicht. Sie könnten GOTO :eof der Datei voranstellen oder jede Zeile mit REM oder :: voranstellen, was alles in der Batch-Datei effektiv deaktiviert. Oder mach andere Tricks, vielleicht.

Aber ich bin nicht ganz sicher, warum Sie das tun möchten. In einer normalen Webanwendung sollten hochgeladene Dateien einfach in einem eingeschränkten Teil des Dateisystems gespeichert werden und nicht ausführbar sein. Wenn ein Angreifer eine hochgeladene Datei beliebiger Art in einem Teil Ihrer Infrastruktur ausführen kann, scheint dies zunächst ein architektonisches Problem zu sein.