ASP.NET Core 3.1 Web API 可以受到目录遍历攻击，但是可以通过一些解决方法来防止此类攻击。

一种常见的目录遍历攻击是通过请求 URL 中的特殊字符或路径来尝试访问服务器上的敏感文件或目录。

以下是一种解决方法，可以防止目录遍历攻击：

1. 使用Path.GetFullPath方法来规范化请求的文件路径，以确保路径是有效且不包含特殊字符。

[HttpGet("{file}")]
public IActionResult GetFile(string file)
{
    var filePath = Path.GetFullPath(Path.Combine("RootFolder", file));

    if (!filePath.StartsWith(Path.GetFullPath("RootFolder")))
    {
        // 非法文件路径，拒绝访问
        return Forbid();
    }

    if (!System.IO.File.Exists(filePath))
    {
        // 文件不存在
        return NotFound();
    }

    // 返回文件内容
    return PhysicalFile(filePath, "application/octet-stream");
}

上述代码中，Path.Combine用于合并文件路径，Path.GetFullPath用于规范化路径，确保路径不包含特殊字符。然后，通过比较规范化后的路径与根文件夹路径来验证路径是否合法。如果路径不在根文件夹内，则拒绝访问。

2. 始终使用安全的文件操作方法来读取文件内容。例如，使用System.IO.File.Exists来检查文件是否存在，使用PhysicalFile方法来返回文件内容。

3. 避免将用户提供的文件名直接拼接到文件路径中，以防止用户通过恶意构造的文件名进行攻击。可以在接受文件名参数之前进行验证，例如使用正则表达式或白名单来限制文件名的格式。

4. 使用身份验证和授权机制，以确保只有授权用户可以访问敏感文件或目录。

5. 定期更新和维护服务器和框架的安全补丁，以防止已知的漏洞。

请注意，以上解决方法只是防止目录遍历攻击的一种方式，不能保证绝对安全。在开发 Web API 时，应该综合考虑其他安全措施，并根据具体需求和情况进行适当的防护。