当前位置: > > > > 检查文件是否驻留在基本目录中的最安全方法是什么?
来源:stackoverflow
2024-04-22 09:12:33
0浏览
收藏
本篇文章向大家介绍《检查文件是否驻留在基本目录中的最安全方法是什么?》,主要包括,具有一定的参考价值,需要的朋友可以参考一下。
问题内容
Go 中在任何平台上验证给定文件路径是否位于基本路径内的最安全方法是什么?
路径最初以字符串形式提供,并使用“/”作为分隔符,但它们是用户提供的,我需要假设大量恶意输入。我应该执行哪种路径标准化以确保例如像“..”这样的序列会被评估,所以我可以安全地检查基本路径?各种文件系统和平台上有哪些需要注意的例外情况?哪些 Go 库在这方面应该是安全的?
结果将被提供给 os.Create 和 sqlite3.Open 等外部函数,任何无法识别留下的基本路径的行为都将构成安全违规。
解决方案
我相信您可以使用 filepath.rel (并检查它是否返回不以 .. 开头的值)。
rel 返回一个在词法上等同于 targpath 的相对路径 当使用中间分隔符连接到基本路径时。那是, join(basepath, rel(basepath, targpath)) 相当于 targpath 本身。成功时,返回的路径将始终相对于 基本路径,即使基本路径和目标路径不共享任何元素。一个错误是 如果无法使 targpath 相对于基本路径或者知道的话则返回 计算它需要当前工作目录。相对值 对结果调用 clean。
filepath.rel 还在其输入路径上调用 filepath.clean,解析任何 .s 和 ..s。
clean 返回与纯粹的路径等效的最短路径名 词汇处理。它迭代地应用以下规则,直到 无法进行进一步处理:
- 将多个分隔符元素替换为单个分隔符元素。
- 消除每个 .路径名元素(当前目录)。
- 消除每个内部 .. 路径名元素(父目录)及其前面的非 .. 元素。
- 消除开始根路径的 .. 元素:即在路径开头用“/”替换“/..”,假设分隔符为“/”。
您还可以直接使用 filepath.clean 并在完成后检查前缀。以下是 filepath.clean 的一些示例输出:
ps := []string{
"/a/../b",
"/a/b/./c/../../d",
"/b",
}
for _, p := range ps {
fmt.println(p, filepath.clean(p))
}
打印:
/a/../b /b /a/b/./c/../../d /a/d /b /b
也就是说,路径操作不应该是您部署的唯一安全机制。如果您确实担心被利用,请通过沙箱、创建虚拟文件系统/容器等进行深度防御。
今天带大家了解了的相关知识,希望对你有所帮助;关于Golang的技术知识我们会一点点深入介绍,欢迎大家关注公众号,一起学习编程~
