Python路径遍历漏洞防御技巧

Python中看似安全的os.path.join实则无法防御路径遍历攻击，因其仅做字符串拼接、完全忽略../等语义，极易导致用户通过恶意输入（如../../etc/passwd）读取服务器任意文件；真正可靠的防护需结合os.path.realpath解析真实路径，并用os.path.commonpath进行严格白名单校验，同时须警惕框架“伪安全”陷阱（如绕过send_from_directory手拼路径）、Web服务器层缺失兜底以及那些隐蔽的路径使用场景（如日志名、导出文件名、调试参数等），唯有纵深防御——代码层校验、框架规范使用、服务器配置加固、运行时环境隔离——才能切实堵住这一经典但高危的安全缺口。

Python os.path.join 为什么不能防路径遍历

因为 os.path.join 只拼字符串，不校验语义。它对 ../ 完全无感，传入 "uploads" 和 "../etc/passwd"，结果就是 "uploads/../etc/passwd"——操作系统解析时照样向上跳转。

常见错误现象：open(os.path.join(upload_dir, filename)) 直接读取了服务器任意文件；用户上传 ../../config.py 就能触发配置泄露。

• 使用场景：文件上传、静态资源路由、模板路径拼接等所有「用户可控路径 + 本地路径拼接」的地方
• 参数差异：os.path.join 在 Windows 和 Linux 下对斜杠处理一致，但不会做规范化（normalize），.. 留在路径里就是留着
• 性能影响：几乎为零，但别把它当安全栅栏用

用 os.path.realpath + os.path.commonpath 做白名单校验

核心思路是：把拼出来的路径转成绝对真实路径，再检查它是否落在允许的根目录内。这是目前最稳妥的通用做法。

实操建议：

• 先调用 os.path.abspath 或 os.path.realpath 解析路径（后者还会跟随符号链接，更严格）
• 用 os.path.commonpath([real_path, allowed_root]) 判断两者公共前缀是否等于 allowed_root
• 必须用 os.path.commonpath，不能用 str.startswith —— 否则绕过：比如 /var/www 根目录下，/var/www2/evil 会被 startswith("/var/www") 错误放行

示例关键判断逻辑：

real_path = os.path.realpath(os.path.join(base_dir, user_input))
if os.path.commonpath([real_path, base_dir]) != base_dir:
    raise PermissionError("Path traversal detected")

Django / Flask 等框架里别自己拼路径

框架通常已内置防护，但你一“手快”就破防。比如 Django 的 staticfiles 不会执行用户传入的路径；Flask 的 send_from_directory 内部已做 os.path.realpath + commonpath 校验。

容易踩的坑：

• 绕过 send_from_directory，改用 send_file + 手动拼路径 → 直接失效
• 在模板里用 {{ url_for('static', filename=user_supplied) }} → 如果没做输入过滤，可能生成非法 URL，后端路由再解析时仍可能出问题
• 用 pathlib.Path 拼接（如 base / user_input）→ 和 os.path.join 一样不校验，只是写法更现代，不代表更安全

Web 服务器层也要设防，别全指望 Python

Python 层漏检时，Nginx 或 Apache 的配置能兜底。这不是重复造轮子，而是纵深防御的必要一环。

实操要点：

• Nginx 中用 location ^~ /static/ 配合 alias，避免用 root + 路径拼接；禁用 ../：加 if ($request_uri ~ "\.\./") { return 403; }（注意：仅限简单场景，复杂规则优先用 map）
• Apache 启用 mod_rewrite，用 RewriteRule "^.*\.\./" "-" [F]
• 容器或沙箱部署时，挂载只读卷、限制 chroot 或用 user namespaces，让即使路径遍历成功也读不到敏感文件

真正难防的是那些你根本没想到被当作路径使用的字段——比如日志文件名参数、导出 CSV 的 filename 头、甚至某个调试接口的 module_name 参数。只要它最终进了 open() 或 importlib.import_module()，就得走一遍路径校验。

今天关于《Python路径遍历漏洞防御技巧》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注golang学习网公众号！