node.js中normalize引出的坑
发布于 12 年前 作者 DoubleSpout 13576 次浏览 最后一次编辑是 8 年前

最近在某个创业公司@a272121742使用 rrestjs 框架中碰到一个问题,更新到0.9.x版本的rreestjs框架后,在windows下无法正常分割用户的请求,导致他们公司的项目无法正常开发了。收到这个消息,我也很纳闷,因为之前在0.8.x时并没有出现这个问题,而且我还特别写了单元测试代码,当然那些代码主要是在linux下跑测试的。 对比0.9和0.8版本之间的主要req.path那块代码的区别是,我把用户的请求路径通过了这个函数:path.normalize§,官方给这个函数的示例是:

path.normalize('/foo/bar//baz/asdf/quux/..')
// returns
'/foo/bar/baz/asdf'

于是我在源代码中去掉了 normalize 这个函数,发现 windows 下一切正常了,之所以加上 normalize 这个方法是为了过滤用户的相对路径故意注入,除去静态文件相对路径的漏洞。

为了验证这个问题我们在windows和linux下各跑如下脚本查看输出结果: 1、linux 系统下:

var path = require('path');
var url = '/aaa/bbb/ccc/../../../../../../../usr/local/bin';
var url1 = path.normalize(url);
console.log(__dirname);
console.log(path.join(__dirname, url));
console.log(path.join(__dirname, url1));

输出: /usr/local/nodejs/test /usr/local/bin /usr/local/nodejs/test/usr/local/bin

注意第二个输出:如果我们不过滤用户的…/则直接让用户访问了 /usr/local/bin 目录了。

2、windows系统下:

E:\node.js\test
E:\usr\local\bin
E:\node.js\test\usr\local\bin

而rrestjs框架是根据反斜杠 “/” 来分割请求路径的,所以自然加了这个方法就出错了。 回顾在python语言中,我们可以利用:

import os
os.sep //这里会根据系统的不同的路径分隔符,比如windows出现"\" linux出现"/"

而在node.js中os模块式没有这个属性的,只能自给自足了, node.js提供了 os.platform() 或者 process.platform

os.platform 
process.platform  
 'darwin', 'freebsd', 'linux', 'sunos' or 'win32'

然后就可以根据结果返回值自定义不同的分隔符或者其他规则了。node.js的 normalize 这个函数也通过判断os来进行不同的处理的,以后大家开发跨系统的应用时,系统分隔符建议单独处理。

最后广告时间: 高性能roa & restful node.js开发框架rrestjs,给您带来除了expressjs以外的全新体验: 官网:www.rrestjs.com 基于rrestjs框架开发的轻博客:www.wujb.net 博客原文:博客原文

以上站点强烈欢迎互链哦!

5 回复

过来鼓掌了enter image description here

不错,这些坑似乎所有语言都存在。

nodejs也是有跨平台分隔符的:require(‘path’).sep

应该使用require('path').resolve(from, to) 主要是用于命令行中路径参数处理。

回到顶部