背景与价值ZIP文件可能包含路径穿越与恶意内容。统一规范可保障解压的安全与可控。统一规范路径规范化:规范化输出路径并拒绝包含父级跳转的条目。扩展白名单:仅允许特定扩展名解压。尺寸限制:限制单文件与总大小。核心实现路径规范化与父级拒绝function norm(p: string): string { return p.replace(/\\/g,'/').replace(/\/+/g,'/') } function safe(p: string): boolean { const n = norm(p); if (n.includes('..')) return false; return /^([A-Za-z0-9_\-\/\.]+)$/.test(n) } 扩展与大小限制const allowExt = new Set(['.txt','.png','.jpg','.jpeg','.pdf']) function extAllowed(name: string): boolean { const m = name.toLowerCase().match(/\.[a-z0-9]+$/); return !!m && allowExt.has(m[0]) } function sizeAllowed(n: number, max = 10 * 1024 * 1024): boolean { return Number.isFinite(n) && n > 0 && n <= max } 落地建议在解压前统一规范化路径并拒绝包含父级跳转的条目,限制扩展与大小。使用隔离环境执行解压并记录审计条目与拒绝原因。验证清单路径是否规范化且无父级跳转;扩展与大小是否命中策略。
投稿
微信公众账号
微信扫一扫加关注
评论 返回
顶部
发表评论 取消回复