保护文件路径：防止目录遍历攻击-js教程-PHP中文网

首页

web前端

js教程

保护文件路径：防止目录遍历攻击

Susan Sarandon

Oct 21, 2024 pm 10:56 PM

Securing File Paths: Preventing Directory Traversal Attacks

文件路径处理不当可能会导致安全漏洞，称为目录遍历攻击。这些漏洞允许攻击者访问服务器上的任意文件。

什么是目录遍历攻击？

当攻击者操纵文件路径来访问目标目录之外的文件时，就会发生目录遍历攻击。例如，如果应用程序在未经验证的情况下使用用户提供的文件路径，则攻击者可以使用 ../../etc/passwd 等路径来访问服务器上的敏感文件。

目录遍历攻击的示例：

易受攻击的代码：

const filePath = `public/uploads/${req.params.fileName}`;

假设您有一个文件下载功能，允许用户通过提供 id 来下载文件。应用程序可能会直接根据用户输入构建文件路径。

恶意输入：

/public/uploads/../../secret.txt

攻击者可以在此处提供 ../../secret.txt 等恶意输入，从而导致意外的文件访问。

后果：

如果应用程序不验证此输入，它可能会将敏感文件（例如配置文件或用户数据）暴露给攻击者。

防止此类攻击的示例

import path from 'path';
import fs from 'fs/promises';
import { RequestHandler, NextFunction } from 'express';

// Point: 1
const BASE_DIRECTORY = path.resolve(__dirname, 'public/uploads');

export const downloadAttachment: RequestHandler = async (req, res, next: NextFunction) => {
    // Point: 2
    const { fileName } = req.params; 

    // Point: 3
    const filePath = path.join(BASE_DIRECTORY, fileName);
    const resolvedPath = path.resolve(filePath);

    // Point: 4
    if (!resolvedPath.startsWith(BASE_DIRECTORY)) {
        return res.status(400).json({ message: "Invalid file path" });
    }

    try {
        // Point: 5
        await fs.access(resolvedPath);

        // Point: 6
        res.download(resolvedPath, path.basename(fileName), (err) => {
            if (err) {
                return next(err);
            }
        });
    } catch {
        // Point: 7
        return res.status(404).json({ message: "File not found" });
    }
};

要点解释：

基本目录定义：为文件上传建立固定目录，以限制访问。
提取文件名：从 URL 参数中检索请求的文件名。
文件路径构建：将基目录与请求的文件名组合起来创建完整路径。
路径验证：确保解析的文件路径位于指定的基目录内，以防止未经授权的访问。
文件存在检查：异步检查构造路径中文件是否存在。
文件下载处理：启动文件下载并处理过程中可能发生的任何错误。
丢失文件的错误处理：如果请求的文件不存在，则发送 404 响应。

致谢：本文档参考了 PortSwigger Web Security 和 ChatGPT 的信息。

以上是保护文件路径：防止目录遍历攻击的详细内容。更多信息请关注PHP中文网其他相关文章！

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

C和JavaScript：连接解释Apr 23, 2025 am 12:07 AM

C 和JavaScript通过WebAssembly实现互操作性。1）C 代码编译成WebAssembly模块，引入到JavaScript环境中，增强计算能力。2）在游戏开发中，C 处理物理引擎和图形渲染，JavaScript负责游戏逻辑和用户界面。

从网站到应用程序：JavaScript的不同应用Apr 22, 2025 am 12:02 AM

JavaScript在网站、移动应用、桌面应用和服务器端编程中均有广泛应用。1)在网站开发中，JavaScript与HTML、CSS一起操作DOM，实现动态效果，并支持如jQuery、React等框架。2)通过ReactNative和Ionic，JavaScript用于开发跨平台移动应用。3)Electron框架使JavaScript能构建桌面应用。4)Node.js让JavaScript在服务器端运行，支持高并发请求。

Python vs. JavaScript：比较用例和应用程序Apr 21, 2025 am 12:01 AM

Python更适合数据科学和自动化，JavaScript更适合前端和全栈开发。1.Python在数据科学和机器学习中表现出色，使用NumPy、Pandas等库进行数据处理和建模。2.Python在自动化和脚本编写方面简洁高效。3.JavaScript在前端开发中不可或缺，用于构建动态网页和单页面应用。4.JavaScript通过Node.js在后端开发中发挥作用，支持全栈开发。