答案:Go中防止路径遍历需用filepath.Clean规范化路径,并通过filepath.Abs和filepath.Rel确保目标路径在根目录内,结合strings.HasPrefix校验子路径,避免../../../等恶意输入导致敏感文件泄露。
在Go语言开发中,处理文件路径时若缺乏安全校验,很容易引发路径遍历漏洞(Path Traversal),攻击者可通过构造恶意路径如 ../../../etc/passwd 读取或写入敏感文件。因此,实现基础的文件路径安全检查是服务端程序必须考虑的问题。
使用 filepath.Clean 规范化路径
Go 的 path/filepath 包提供 Clean 函数,用于将路径标准化,去除冗余的 . 和 .. 等符号。
示例:-
filepath.Clen("../../etc/passwd")返回../../etc/passwd -
filepath.Clean("/dir/../dir/file.txt")返回/dir/file.txt
注意:Clean 不会判断路径是否超出指定根目录,仅做格式整理。
限制路径在指定目录内
要防止路径逃逸,需确保目标路径始终位于允许访问的根目录下。可通过 filepath.Rel 或比较 filepath.Abs 实现。
立即学习“go语言免费学习笔记(深入)”;
核心逻辑:- 先用 filepath.Abs 将用户输入和根目录都转为绝对路径
- 使用 strings.HasPrefix 判断目标路径是否以根目录开头
- 确保路径前缀匹配且后一个字符是路径分隔符,防止前缀误判(如 /safe 被 /safely 绕过)
func isSubPath(root, path string) (bool, error) {
rootAbs, err := filepath.Abs(root)
if err != nil {
return false, err
}
targetAbs, err := filepath.Abs(path)
if err != nil {
return false, err
}
rel, err := filepath.Rel(rootAbs, targetAbs)
if err != nil {
return false, err
}
return !strings.HasPrefix(rel, ".."+string(filepath.Separator)), nil
}
结合 HTTP 服务中的实际应用
在 Web 服务中常需要根据 URL 提供静态文件下载,例如 /files/{filename}。此时用户控制 filename,风险极高。
安全做法:- 拼接前先 Clean 路径
- 检查拼接后的完整路径是否在允许目录内
- 拒绝包含 ".." 或 "/" 开头但不在白名单内的路径
func safePath(root, userPath string) (string, bool) {
cleanPath := filepath.Clean(userPath)
fullPath := filepath.Join(root, cleanPath)
matched, _ := filepath.Match(filepath.Join(root, "*"), fullPath)
if !matched {
return "", false
}
rel, err := filepath.Rel(root, fullPath)
if err != nil || strings.HasPrefix(rel, "..") {
return "", false
}
return fullPath, true
}
基本上就这些。只要确保所有外部输入的路径都经过 Clean 并严格限定在预设目录内,就能有效防御路径遍历攻击。不复杂但容易忽略。
