接上篇,Java判断文件类型,继续图片安全问题。若已正确判断出图片类型,防止了绝大多数恶意图片上传。但是若通过修改文件流的方法,给一张本身合法的图片中强行写入一些恶意代码,或者病毒代码,这样前面的方法仍然能够顺利通过,因为它本身是张正确格式的图片,仅仅读取字节与获取图片类型无法做到清除这种类型图片中隐藏的恶意代码。附用UE打开后的恶意图片部分内容,图片的右半部分显示了恶意脚本:
试想,如这种类型图片上传到服务器,当引用了该图片的网页被访问时,而恰好用户的机子装了杀毒软件,则此时杀毒软件会对该页面报警,如果您的网页中存在大量的这种图片,那惨啦,一打开网页,杀毒软件就开始报病毒。这样用户还再敢访问您的网站。
针对这种情况,说白了就是如何清楚合法格式图片中隐藏的恶意信息问题,在工作中无意中发现jmagick可以对图片进行相应处理,而该工具提供的图片缩放方法能将多余的非图片元素清除,那么我们只需要在正确校验格式后对图片按原大小进行一次缩放来清除恶意信息:
代码如下:
package apistudy; import java.io.IOException; import magick.ImageInfo; import magick.MagickImage; /** * Created on 2010-7-8 * <p>Description: [通过jmagick清除图片中的恶意信息]</p> * @author shixing_11@sina.com * @version 1.0 */ public class ImageTypeTest { static { System.setProperty("jmagick.systemclassloader", "no"); } /** * Created on 2010-7-8 * <p>Discription:[main]</p> * @param args * @author:[shixing_11@sina.com] */ public static void main(String[] args) { String srcFileName = "c:/img/c.jpg"; try { filterImageByScale(srcFileName); } catch (IOException e) { e.printStackTrace(); } } /** * Created on 2010-7-8 * <p>Discription:[filterImageByScale,清除图片中的恶意代码]</p> * @param srcFileName * @throws IOException * @author:[shixing_11@sina.com] */ public final static void filterImageByScale(String srcFileName) throws IOException { MagickImage magic = null; try { ImageInfo imgInfo = new ImageInfo(srcFileName); magic = new MagickImage(imgInfo); int width = (int) magic.getDimension().getWidth(); int height = (int) magic.getDimension().getHeight(); MagickImage newImage = magic.scaleImage(width, height); newImage.profileImage("*", null); //清除无用信息 newImage.setImageAttribute("JPEG-Sampling-factors", null); //清除无用信息 newImage.setImageAttribute("comment", null); //清除无用信息 newImage.writeImage(new ImageInfo()); newImage.writeImage(imgInfo); } catch (Exception e1) { e1.printStackTrace(); } finally { try { magic.destroyImages(); } catch (Exception e2) { e2.printStackTrace(); } } } }
运行以上程序后,再打开看原来的图片,恶意内容已经没有了,大小也比以前小了,杀毒软件也不会报病毒了。