asp.netcore中的路径遍历漏洞
创始人
2024-09-18 14:00:31
0

禁止访问非授权目录,解析并处理用户输入的文件路径参数,使用虚拟路径来代替物理路径等。

示例代码:

  1. 禁止访问非授权目录:

在asp.net core中,可以通过在Web.config文件中加入如下语句来防止访问非授权目录:

  1. 解析并处理用户输入的文件路径参数:

在asp.net core中,可以通过使用相关函数来正确处理用户输入的文件路径参数,例如:

public async Task Download(string fileName) { var path = Path.Combine(_rootPath, fileName); if (!Path.GetFullPath(path).StartsWith(_rootPath)) { return NotFound(); } var fileStream = new FileStream(path, FileMode.Open, FileAccess.Read); return File(fileStream, MimeTypes.GetMimeType(path), fileName); }

  1. 使用虚拟路径来代替物理路径:

在asp.net core中,可以使用虚拟路径来代替物理路径,例如:

services.Configure(options => { options.AllowAccessOutsideOfRoot = false; }); app.UseStaticFiles(new StaticFileOptions { ServeUnknownFileTypes = true, DefaultContentType = "application/octet-stream", FileProvider = new PhysicalFileProvider(_rootPath), RequestPath = new PathString("/files") });

上一篇:ASP.NETCore中的Kerberos和WindowsIdentity模拟

下一篇:ASP.NETCore中的MapDynamicControllerRoute只有选择性地工作

相关内容

热门资讯

一分钟揭秘“wepoker开挂... 一分钟揭秘“wepoker开挂辅助”开挂辅助神器(透视)曝光教程是一款可以让一直输的玩家,快速成为一...
开挂辅助工具"拱趴大... 大家好,今天小编来为大家解答拱趴大菠萝挂哪里这个问题咨询软件客服可以免费测试直接加微信(136704...
玩家必看分享“wepoker辅... >>您好:wepoker辅助工具好用吗确实是有挂的,很多玩家在这款游戏中打牌都会发现很多用户的牌特别...
开挂辅助下载"wpk... 开挂辅助下载"wpk模拟器多开"开挂(透视)辅助平台(有挂方略) 【无需打开直接搜索加薇136704...
推荐几款新版“微扑克的辅助工具... 微扑克的辅助工具是一款可以让一直输的玩家,快速成为一个“必胜”的ai辅助神器,有需要的用户可以加我微...
开挂辅助软件"wep... 您好:这款wepoker免费透视脚本游戏是可以开挂的,确实是有挂的,很多玩家在这款wepoker免费...
分辨真假“wepoker透视插... 您好:wepoker透视插件挂的软件,软件加客服确实是有挂的,很多玩家在这款游戏中打牌都会发现很多用...
开挂辅助安装"aap... 开挂辅助安装"aapoker辅助软件合法吗"开挂(透视)辅助软件(真的有挂) 了解更多开挂安装加(1...
专业讨论“wepoker透视挂... 您好,wepoker透视挂教程这款游戏可以开挂的,确实是有挂的,需要了解加微【136704302】很...
开挂辅助神器"hhp... 开挂辅助神器"hhpoker辅助挂是真的吗"开挂(透视)辅助插件(详细教程)>>您好:软件加1367...