代码之家  ›  专栏  ›  技术社区  ›  Luke Vo

验证以防止路径字符串转到父文件夹

filesystems path security string c#
  •  1
  • Luke Vo  · 技术社区  · 7 年前

    我的业务逻辑是接受文件夹路径字符串来读取文件夹/文件。但是,根据安全规定,用户只能访问该文件夹。例如:

    他们的文件夹是:C:\foo\user\bar,他们可以访问 C:\foo\user\bar\data\.a.b..txt 通过 https://www.example.com/download?path=data/.a.b..txt 

            var result = this.ResultFolder; // The user folder (\user\bar as in the example)

        if (!string.IsNullOrEmpty(path))
        {
            path = path.Replace("/", @"\");

            if (path.StartsWith(@"\"))
            {
                path = path.Substring(1);
            }

            if (path.StartsWith('\\') || path.Contains("..\\"))
            {
                throw new InvalidDataException("Forbidden Path.");
            }

            result = Path.Combine(result, path);
        }

    基本上,我做的是:

    • 请求允许路径以\开头,不计算任何内容。

    • 现在如果用户试图恶意(使用 \\ 或者尝试使用 ..\ (使用前注意) .. 仅限,但大小写为false,因为它是有效的文件/文件夹名)

    是否正确和安全?有什么框架方法可以帮助解决这个问题吗?

    1 回复  |  直到 7 年前
        1
  •  1
  •   Flydog57    7 年前

    这里有一个解决方案 Path.GetFullPath(string path) :

    创建此函数: 

    private static bool VerifyPathUnderRoot(string pathToVerify, string rootPath = ".")
{
    var fullRoot = Path.GetFullPath(rootPath);
    var fullPathToVerify = Path.GetFullPath(pathToVerify);
    return fullPathToVerify.StartsWith(fullRoot);
}

    然后可以用如下代码进行测试: 

     var paths = new[]
 {
     "somepath/somefile.xxx",
     "..\\somepath/somefile.xxx",
     @"C:\this\that\the.other",
 };
 foreach (var path in paths)
 {
     var isOk = VerifyPathUnderRoot(path);
     var okString = isOk ? "OK" : "No";
     Debug.WriteLine($"{okString}: {path}");
 }

    这将导致调试器的输出窗格中出现以下情况: 

    OK: somepath/somefile.xxx
No: ..\somepath/somefile.xx
No: C:\this\that\the.other

    我用 GetFullPath

    推荐文章
    Ethan  ·  节点fs文件不存在
    2 年前
    gnarlyninja  ·  为什么是pathlib中的第一个值。路径.部分为正斜杠?
    2 年前
    flexwang  ·  将<experimental/filesystem>与CMake一起使用
    2 年前
    user81993  ·  NTFS有扩展文件属性吗?我如何在windows上读/写它们?
    2 年前
    Anshuman Mishra  ·  有什么想法吗?我如何将django项目中所有django模型的模式导出为外部格式?
    3 年前
    Ernaldo  ·  如何在C(macOS)中检查文件夹是否真的是别名?
    3 年前
    Jordan  ·  inotify是否将IN_MOVED_FROM和IN_MOVED_TO分组?
    13 年前
    Janek  ·  分布式文件系统,用于指定文件存储在哪台计算机上
    13 年前
    Andrew  ·  如何在android中转储文件系统/dev/fuse?
    13 年前
    Mfef Ewf  ·  使用哪个IPC,我可以在同一台机器上将文件描述符从一个进程传递到另一个进程?
    13 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号