答案:Go中防止路径遍历需用filepath.Clean规范化路径,并通过filepath.Abs和filepath.Rel确保目标路径在根目录内,结合strings.HasPrefix校验子路径,避免../../../等恶意输入导致敏感文件泄露。
在Go语言开发中,处理文件路径时若缺乏安全校验,很容易引发路径遍历漏洞(Path Traversal),攻击者可通过构造恶意路径如 ../../../etc/passwd 读取或写入敏感文件。因此,实现基础的文件路径安全检查是服务端程序必须考虑的问题。
Go 的 path/filepath 包提供 Clean 函数,用于将路径标准化,去除冗余的 . 和 .. 等符号。
示例:
filepath.Clen("../../etc/passwd") 返回 ../../etc/passwd
filepath.Clean("/dir/../dir/file.txt") 返回 /dir/file.txt
注意:Clean 不会判断路径是否超出指定根目录,仅做格式整理。
要防止路径逃逸,需确保目标路径始终位于允许访问的根目录下。可通过 filepath.Rel 或比较 filepath.Abs 实现。
立即学习“go语言免费学习笔记(深入)”;
核心逻辑:
func isSubPath(root, path string) (bool, error) {
rootAbs, err := filepath.Abs(root)
if err != nil {
return false, err
}
targetAbs, err := filepath.Abs(path)
if err != nil {
return false, err
}
rel, err := filepath.Rel(rootAbs, targetAbs)
if err != nil {
return false, err
}
return !strings.HasPrefix(rel, ".."+string(filepath.Separator)), nil
}
在 Web 服务中常需要根据 URL 提供静态文件下载,例如 /files/{filename}。此时用户控制 filename,风险极高。
安全做法:func safePath(root, userPath string) (string, bool) {
cleanPath := filepath.Clean(userPath)
fullPath := filepath.Join(root, cleanPath)
matched, _ := filepath.Match(filepath.Join(root, "*"), fullPath)
if !matched {
return "", false
}
rel, err := filepath.Rel(root, fullPath)
if err != nil || strings.HasPrefix(rel, "..") {
return "", false
}
return fullPath, true
}
基本上就这些。只要确保所有外部输入的路径都经过 Clean 并严格限定在预设目录内,就能有效防御路径遍历攻击。不复杂但容易忽略。
以上就是Golang如何实现基础的文件路径安全检查_Golang文件路径安全项目实战的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
广告Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
252
收藏
