asp.netcore中的路径遍历漏洞
创始人
2024-09-18 14:00:31
0

禁止访问非授权目录,解析并处理用户输入的文件路径参数,使用虚拟路径来代替物理路径等。

示例代码:

  1. 禁止访问非授权目录:

在asp.net core中,可以通过在Web.config文件中加入如下语句来防止访问非授权目录:

  1. 解析并处理用户输入的文件路径参数:

在asp.net core中,可以通过使用相关函数来正确处理用户输入的文件路径参数,例如:

public async Task Download(string fileName) { var path = Path.Combine(_rootPath, fileName); if (!Path.GetFullPath(path).StartsWith(_rootPath)) { return NotFound(); } var fileStream = new FileStream(path, FileMode.Open, FileAccess.Read); return File(fileStream, MimeTypes.GetMimeType(path), fileName); }

  1. 使用虚拟路径来代替物理路径:

在asp.net core中,可以使用虚拟路径来代替物理路径,例如:

services.Configure(options => { options.AllowAccessOutsideOfRoot = false; }); app.UseStaticFiles(new StaticFileOptions { ServeUnknownFileTypes = true, DefaultContentType = "application/octet-stream", FileProvider = new PhysicalFileProvider(_rootPath), RequestPath = new PathString("/files") });

上一篇:ASP.NETCore中的Kerberos和WindowsIdentity模拟

下一篇:ASP.NETCore中的MapDynamicControllerRoute只有选择性地工作

相关内容

热门资讯

透视课程!aapoker怎么拿... 透视课程!aapoker怎么拿好牌(HHpoker工具)总是真的是有辅助app(哔哩哔哩)1、点击下...
透视讲义!wejoker辅助器... 透视讲义!wejoker辅助器要钱玩吗(WPK方法)竟然存在有辅助脚本(哔哩哔哩)1、wejoker...
透视经验!hhpkoer辅助挂... 透视经验!hhpkoer辅助挂是真的吗(德普之星透视)其实真的是有辅助方法(哔哩哔哩)在进入hhpk...
透视大纲!pokemmo辅助脚... 透视大纲!pokemmo辅助脚本(透视)哈糖大菠萝怎么开挂(辅助)竟然有方法(哔哩哔哩)1)哈糖大菠...
透视手筋!pokemmo手机版... 透视手筋!pokemmo手机版脚本(透视)大菠萝789辅助器下载(辅助)总是是有神器(哔哩哔哩)1)...
透视资料!约局吧德州真的有透视... 透视资料!约局吧德州真的有透视挂吗(透视)智星菠萝透视(辅助)都是真的是有app(哔哩哔哩)1、很好...
透视方式!xpoker辅助控制... 透视方式!xpoker辅助控制(WePoKer简单)真是真的有辅助软件(哔哩哔哩)1、每一步都需要思...
透视法门!wepoker轻量版... 透视法门!wepoker轻量版有透视吗(WPK安卓)果然是有辅助技巧(哔哩哔哩)1、让任何用户在无需...
透视练习!大菠萝辅助器(透视)... 透视练习!大菠萝辅助器(透视)拱趴游戏破解器(辅助)一贯有神器(哔哩哔哩)1)拱趴游戏破解器有没有挂...
透视绝活!poker mast... 透视绝活!poker master辅助(透视)菠萝德州透视脚本(辅助)确实一直都是有工具(哔哩哔哩)...