Для чего проверять путь к файлу?

Question

[gleendo]

Для чего сделала проверка

(!filePath.startsWith(`${config.publicRoot}${path.sep}`))

? Вроде как автор говорит что якобы это не даст выйти за пределы root, но `${config.publicRoot}${path.sep}` всегда же будет равно одному и тому же пути, даже если попытаться выйти за пределы, например ../../../. Для чего тогда эта проверка?

let url = require(`url`);
let fs = require("fs");
let path = require(`path`);
let config = require(`config`);
let mime = require(`mime`);

let handler = (req, res) => {
    let urlParse = url.parse(req.url);
    let pathname = urlParse.pathname;
    let filePath = path.join(config.publicRoot, pathname);

    console.log(pathname); // /page/my.html
    console.log(filePath); // C:\Users\iamevg_\Desktop\app\public\page\my.html
    console.log(`${config.publicRoot}${path.sep}`); // C:\Users\iamevg_\Desktop\app\public\

    if (!filePath.startsWith(`${config.publicRoot}${path.sep}`)) {
        res.statusCode = 400;

        res.end(`Bye-bye silly hacker!`);

        return;
    }

    let file = fs.ReadStream(filePath);

    let write = () => {
        let data = file.read();

        if (data && !res.write(data)) {
            file.removeListener(`readable`, write);

            file.once(`drain`, () => {
                file.on(`readable`, write);

                write();
            });
        }
    };

    file.on(`readable`, write);

    file.on(`error`, (err) => {
        if (err.code === `ENOENT`) {
            res.statusCode = 404;

            res.end(`404 File Not Found`);
        } else {
            res.statusCode = 500;

            res.end(`500 Server Error`);
        }

        console.log(err);
    });

    file.on(`end`, () => {
        res.end();
    });

    res.on(`close`, () => {
        file.destroy();
    });
};

module.exports = handler;

Comments

[Aves]

заканчивал бы ты с видосиками и переходил на документацию https://nodejs.org/api/path.html#path_path_join_paths

The path.join() method joins all given path segments together using the platform specific separator as a delimiter, then normalizes the resulting path.

[gleendo]

Aves: Я читал в спеке про этот метод, но мне все равно не ясно, конкретно для чего вот эта проверка !filePath.startsWith(`${config.publicRoot}${path.sep}`. Ведь в любом случае при любом запросе, url будет выглядеть
C:\Users\iamevg_\Desktop\app\public\pathname
При каком запросе сервер может вернуть код 400, как указано в обработке условия?
Приведите пожалуйста пример, потому что вообще не догоняю, любой запрос какой бы я не ввел, в итоге ну никак не возвращает 400 и не рендерит "Bye-bye silly hacker!"

[Aves]

iamevg_:

path.win32.join('C:\\Users\\iamevg_\\Desktop\\app\\public\\', '/../../../../../windows/system') // 'C:\\windows\\system'

[gleendo]

Aves: Да, это я понимаю, что так должно быть. В консоли оно так и выводится

console.log(path.join(`${config.publicRoot}${path.sep}`, `/../../../../../windows/system`);

Но вот если ввести в адресную строку "localhost:8080/../../../../windows/system", то путь будет равен в итоге
C:\Users\iamevg_\Desktop\app\public\windows\system
Вот это вот мне и не ясно, вроде как оно должно нормально отрабатывать, но почему то выходит не так как ожидалось. Код написанный Кантором, работает аналогично.
В чем проблема может быть?

[Aves]

iamevg_: браузер тоже нормализует путь

node -e "http.get('http://localhost:8080/../../../../../windows/system', res => res.pipe(process.stdout))"