个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我有一个网络应用程序,允许用户上传附件;但是,我想限制用户只能使用某些文件类型 - Adobe PDF 和 MS Excel。原因是在用户提交文档进行处理和工作流程之前,我将汇总一些附件并创建一个 PDF 报告。
我做了一些研究,转换 DOC(X)、RTF 等......会很头痛。另外,如果附件全部为 PDF 格式,“理论上”每个人都会获得更好的查看便携性。
目前我正在检查 mime 类型 -
PDF - “应用程序/pdf”
XLS(X) -
“application/vnd.ms-excel”“应用程序/msexcel”“应用程序/x-msexcel”“应用程序/x-ms-excel”“应用程序/x-excel”“application/x-dos_ms_excel”“应用程序/xls”“应用程序/x-xls”这工作得很好,除了我注意到我可以使用 .docx 文件并将其扩展名更改为 .pdf 并成功绕过此检查.
为了解决这个问题,我计划进一步检查实际文件的 header 。
根据this library文件签名数
PDF 将具有以下标题 -
25 50 44 46
并且它将有以下预告片之一 -
0A 25 25 45 4F 46 (.%%EOF)0A 25 25 45 4F 46 0A (.%%EOF.)0D 0A 25 25 45 4F 46 0D 0A (..%%EOF..)0D 25 25 45 4F 46 0D (.%%EOF.)到目前为止,我已经有了执行此检查的框架代码 -
** 编辑以反射(reflect)答案 **
public boolean confirmAttachmentAuthenticity(ProposalDevelopmentForm form, String mimeType) {
boolean authentic = true;
// Case: User is attempting to upload a "PDF" document
if (mimeType.equals(ADOBE_PDF_CONTENT_TYPE)) {
try {
InputStream inputStream = form.getNewNarrative().getNarrativeFile().getInputStream();
PdfReader pdfReader = new PdfReader(inputStream);
int numberOfPages = pdfReader.getNumberOfPages();
if (numberOfPages > 0) {
// Success - valid PDF
info(form.getNewNarrative().getNarrativeFile().getFileName() + " validated authentic Adobe PDF file");
}
}
catch(IOException ioe) {
// Failure - masquerading PDF
authentic = false;
info(form.getNewNarrative().getNarrativeFile().getFileName() + " is not an authentic Adobe PDF file.");
reportError("newNarrative.narrativeFile",
KeyConstants.ERROR_ATTACHMENT_PDF_NOT_AUTHENTIC,
form.getNewNarrative().getNarrativeFile().getFileName());
}
catch (Exception e) {
// Failure - other causes
authentic = false;
info(form.getNewNarrative().getNarrativeFile().getFileName() + " could not be authenticated at this time.");
e.printStackTrace();
reportError("newNarrative.narrativeFile",
KeyConstants.ERROR_ATTACHMENT_TYPE_CORRUPTED,
form.getNewNarrative().getNarrativeFile().getFileName());
}
}
// Case: User is attempting to upload an "EXCEL" spreadsheet
else {
try {
InputStream inputStream = form.getNewNarrative().getNarrativeFile().getInputStream();
POIFSFileSystem fileSystem = new POIFSFileSystem(inputStream);
HSSFWorkbook workBook = new HSSFWorkbook(fileSystem);
int numberOfSheets = workBook.getNumberOfSheets();
if (numberOfSheets > 0) {
// Success - valid Excel Spreadsheet
info(form.getNewNarrative().getNarrativeFile().getFileName() + " validated authentic MS Excel file");
}
}
catch(IOException ioe) {
// Failure - masquerading XLS(X)
authentic = false;
info(form.getNewNarrative().getNarrativeFile().getFileName() + " is not an authentic MS Excel file.");
reportError("newNarrative.narrativeFile",
KeyConstants.ERROR_ATTACHMENT_XLS_NOT_AUTHENTIC,
form.getNewNarrative().getNarrativeFile().getFileName());
}
catch (Exception e) {
// Failure - other causes
authentic = false;
info(form.getNewNarrative().getNarrativeFile().getFileName() + " could not be authenticated at this time.");
e.printStackTrace();
reportError("newNarrative.narrativeFile",
KeyConstants.ERROR_ATTACHMENT_TYPE_CORRUPTED,
form.getNewNarrative().getNarrativeFile().getFileName());
}
}
return authentic;
}
我认为最好的方法是使用 BinarySearch 方法来执行此操作。但是,我也读过一些帖子,人们建议将 fileData 转换为字符串,然后使用正则表达式。
如有任何想法,我们将不胜感激。
如果您能帮助我开始填写这两种情况的框架代码,我会加分。我的逐位逻辑知识已经生锈了。这就是我在过去一年中编写大部分高级客户端代码所得到的结果。
最佳答案
不要永远信任来自客户端的传入请求, header 值可能会更改,并且不会反射(reflect)请求正文中的内容。
使用第三方库来检查文件是否是 PDF、Excel 或其他文件。
要检查文档是否为 PDF,请尝试使用 iText 打开它。 ,对于 Excel 尝试使用 Apache POI 打开它.
关于java - 验证 PDF 和 Excel 文件类型的模式,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/24022416/
25
4
0
我正在尝试编写一个相当多态的库。我遇到了一种更容易表现出来却很难说出来的情况。它看起来有点像这样: {-# LANGUAGE ScopedTypeVariables #-} {-# LANGUAGE
谁能解释一下这个表达式是如何工作的? type = type || 'any'; 这是否意味着如果类型未定义则使用“任意”? 最佳答案 如果 type 为“falsy”(即 false,或 undef
我有一个界面,在IAnimal.fs中, namespace Kingdom type IAnimal = abstract member Eat : Food -> unit 以及另一个成功
这个问题在这里已经有了答案: 关闭 10 年前。 Possible Duplicate: What is the difference between (type)value and type(va
在 C# 中,default(Nullable) 之间有区别吗? (或 default(long?) )和 default(long) ? Long只是一个例子,它可以是任何其他struct类型。 最
假设我有一个案例类: case class Foo(num: Int, str: String, bool: Boolean) 现在我还有一个简单的包装器: sealed trait Wrapper[
这个问题在这里已经有了答案: Create C# delegate type with ref parameter at runtime (1 个回答) 关闭 2 年前。 为了即时创建委托(dele
我正在尝试获取图像的 dct。一开始我遇到了错误 The function/feature is not implemented (Odd-size DCT's are not implemented
我正在尝试使用 AFNetworking 的 AFPropertyListRequestOperation,但是当我尝试下载它时,出现错误 预期的内容类型{( “应用程序/x-plist” )}, 得
我在下面收到错误。我知道这段代码的意思,但我不知道界面应该是什么样子: Element implicitly has an 'any' type because index expression is
我尝试将 SignalType 从 ReactiveCocoa 扩展为自定义 ErrorType,代码如下所示 enum MyError: ErrorType { // .. cases }
我无法在任何其他问题中找到答案。假设我有一个抽象父类(super class) Abstract0,它有两个子类 Concrete1 和 Concrete1。我希望能够在 Abstract0 中定义类
我想知道为什么这个索引没有用在 RANGE 类型中,而是用在 INDEX 中: 索引: CREATE INDEX myindex ON orders(order_date); 查询: EXPLAIN
我正在使用 RxJava,现在我尝试通过提供 lambda 来订阅可观察对象: observableProvider.stringForKey(CURRENT_DELETED_ID) .sub
我已经尝试了几乎所有解决问题的方法,其中包括。为 提供类型使用app.use(express.static('public'))还有更多,但我似乎无法为此找到解决方案。 index.js : imp
以下哪个 CSS 选择器更快? input[type="submit"] { /* styles */ } 或 [type="submit"] { /* styles */ } 只是好
我不知道这个设置有什么问题,我在 IDEA 中获得了所有注释(@Controller、@Repository、@Service),它在行号左侧显示 bean,然后转到该 bean。 这是错误: 14-
我听从了建议 registering java function as a callback in C function并且可以使用“简单”类型(例如整数和字符串)进行回调,例如: jstring j
有一些 java 类,加载到 Oracle 数据库(版本 11g)和 pl/sql 函数包装器: create or replace function getDataFromJava( in_uLis
我已经从 David Walsh 的 css 动画回调中获取代码并将其修改为 TypeScript。但是,我收到一个错误,我不知道为什么: interface IBrowserPrefix { [
我是一名优秀的程序员,十分优秀!