记一次文件上传功能的审计

1. 点击上传头像功能 抓取数据包  查看 资源路径 POST /dev-api/system/user/profile/avatar 

2. idea 检索资源路径  前端路径 检索到数据包 构造方法  。 后端项目检索user/profile  检索到头像上传功能点 代码

/**
 * 头像上传
 */
@Log(title = "用户头像", businessType = BusinessType.UPDATE)
@PostMapping("/avatar")
public AjaxResult avatar(@RequestParam("avatarfile") MultipartFile file) throws Exception
{
    if (!file.isEmpty())
    {
        LoginUser loginUser = getLoginUser();
        String avatar = FileUploadUtils.upload(RuoYiConfig.getAvatarPath(), file, MimeTypeUtils.IMAGE_EXTENSION);
        if (userService.updateUserAvatar(loginUser.getUsername(), avatar))
        {
            AjaxResult ajax = AjaxResult.success();
            ajax.put("imgUrl", avatar);
            // 更新缓存用户头像
            loginUser.getUser().setAvatar(avatar);
            tokenService.setLoginUser(loginUser);
            return ajax;
        }
    }
    return error("上传图片异常，请联系管理员");
}

先判断文件是否为空  。不为空则开始上传文件   发现使用  FileUploadUtils.upload（）   上传文件  。 追踪 upload（）  函数   看具体实现

public static final String upload(String baseDir, MultipartFile file, String[] allowedExtension)
        throws FileSizeLimitExceededException, IOException, FileNameLengthLimitExceededException,
        InvalidExtensionException
{
    int fileNamelength = Objects.requireNonNull(file.getOriginalFilename()).length();
    if (fileNamelength > FileUploadUtils.DEFAULT_FILE_NAME_LENGTH)
    {
        throw new FileNameLengthLimitExceededException(FileUploadUtils.DEFAULT_FILE_NAME_LENGTH);
    }

    assertAllowed(file, allowedExtension);

    String fileName = extractFilename(file);

    String absPath = getAbsoluteFile(baseDir, fileName).getAbsolutePath();
    file.transferTo(Paths.get(absPath));
    return getPathFileName(baseDir, fileName);
}

发现使用  allowedExtension （） 校验后缀名。  继续追踪 

public static final void assertAllowed(MultipartFile file, String[] allowedExtension)
        throws FileSizeLimitExceededException, InvalidExtensionException
{
    long size = file.getSize();
    if (size > DEFAULT_MAX_SIZE)
    {
        throw new FileSizeLimitExceededException(DEFAULT_MAX_SIZE / 1024 / 1024);
    }

    String fileName = file.getOriginalFilename();
    String extension = getExtension(file);
    if (allowedExtension != null && !isAllowedExtension(extension, allowedExtension))
    {
        if (allowedExtension == MimeTypeUtils.IMAGE_EXTENSION)
        {
发现 使用 isAllowedExtension（）判断文件扩展名  逻辑是 与允许的扩展名不相等 便报错 。

public static final boolean isAllowedExtension(String extension, String[] allowedExtension)
{
    for (String str : allowedExtension)
    {
        if (str.equalsIgnoreCase(extension))
        {
            return true;
        }
    }
    return false;
}

返回文件名的 也已经 重命名为指定格式。  上传头像 功能点 安全。