1 
var http = require('http');
var url=   require('url');
var util=  require('util');
var fs =   require('fs');

var body_404="<html><body><center>404 error</center></body></html>";

http.createServer(function (req,res) {
 var what = url.parse("http://127.0.0.1:1235"+req.url);
 var pathname = what.pathname;

 switch(pathname) { 
  case "/":
   pathname="/www/index.html";
  default:
   res.writeHead(200, {'Content-type' : 'text/html'});
   ret = res; 
   fs.stat("."+pathname, function (err, stat) {
    if(err)
     res.write(body_404);
    else
     res.write(fs.readFileSync("."+pathname));
   });
   res.end();
   break;
 }
}).listen(1235, '127.0.0.1');

fs.stat コールバック内の write メソッドが実際にはクライアントに何も書き込まないのはなぜかと思っています。私は res が範囲内にあると信じています。

4

1 に答える 1

6

res.endの前に電話していますres.write。したがって、何も書き出されません。呼び出しをres.endstat ハンドラーに移動します。

var http = require('http');
var url=   require('url');
var util=  require('util');
var fs =   require('fs');
var path = require('path');

var body_404="<html><body><center>404 error</center></body></html>";
var rootPath = path.abspath(".");

http.createServer(function (req,res) {
 var what = url.parse("http://127.0.0.1:1235"+req.url);
 var pathname = what.pathname;
 var buffer;

 switch(pathname) { 
  case "/":
   pathname="/www/index.html";
  default:
   var filename = path.join(rootPath, pathname);
   if (filename.indexOf(rootPath) !== 0) {
     res.writeHead(400, {'Content-type': 'text/plain'});
     res.write('Directory traversal attack averted.');
     res.end();
     return;
   }
   fs.readFile(function (err, content) {
    if(err) {
      res.writeHead(404, {'Content-type' : 'text/html'});
      res.write(body_404);
    } else {
      res.writeHead(200, {'Content-type' : 'text/html'});
      res.write(content);
    }
    res.end();
   });
   break;
 }
}).listen(1235, '127.0.0.1');

また、元のコードはディレクトリ トラバーサル攻撃に対して脆弱であり、 との間で競合状態になることにも注意してください。os.statos.readFileSync

于 2012-09-09T21:54:53.113 に答える