一、问题

最近安全测试说文件下载接口有漏洞，说是路径是前端传来的，可能会这样：

应用程序对用户可控制的输入未经合理校验，就传送给一个文件API。攻击者可能会使用一些特殊的字符（如`..`和`/`）摆脱受保护的限制，访问一些受保护的文件或目录。

**例如**：下面代码片段通过验证输入路径是否以`/safe_dir/`为开头，来判断是否进行创建、删除操作。

...
String path = getInputPath();
if (path.startsWith("/safe_dir/")){
    File f = new File(path);
    f.delete();
}
...

攻击者可能提供类似下面的输入：
`/safe_dir/../important.dat`
程序假定路径是有效的，因为它是以`/safe_dir/`开头的，但是`../`将导致程序删除`important.dat`文件的父目录。

意思就是如果前端传来的路径有..等符号的话，可能会访问到受保护的文件或目录。

二、解决方法

需要对前端传来的路径进行下处理，如下：

String fileFullPath = "/safe_dir/../important.dat";

Path safePath = Paths.get(fileFullPath).normalize();
System.out.println(safePath);



if (safePath.toString().startsWith("\\safe_dir\\")){
    File f = new File(safePath.toString());
    f.delete();
}

说明：
1.输入/safe_dir/../important.dat，打印结果为\important.dat；
由于入参有..，并且过滤后没有safe_dir，所以程序后续会判断为路径不正确，不执行，起到了拦截的作用。

2.如果输入/safe_dir/important.dat，打印结果为\safe_dir\important.dat；
这个入参正确，过滤后也没有问题，所以程序就可以继续执行。