アプリ開発ときどきアウトドア

主にJavaを使ったアプリ開発やトラブルシューティング等のノウハウ、キャンプや登山の紹介や体験談など。

1. システムエンジニアリング Java

Javaにおけるファイルパスの正規化

投稿日:


サーバ側でのzipファイルの解凍等の際に、意図しないディレクトリやファイル(ディレクトリトラバーサル攻撃)へのアクセスを防ぐための検証として、絶対パスを正規化したい場合がある。
Fileクラスを使ったサンプルはあるが、Pathを使ったサンプルがなかったため、検証してみた。

検証結果

結果として次の通りでした。
検証で使ったコードは次節を参照のこと。

  • Fileクラスを使う場合、File#getCanonicalPath()で絶対パスを正規化できる。File#getAbsolutePath()は正規化されず、., ..が残るので注意。
  • Pathクラスを使う場合、normalize()で正規化できそうだが、相対パスで帰ってくる場合があるので、絶対パスに変換してから正規化(path.toAbsolutePath().normalize())が必要である。実在パスの検証がされても良いのであれば、path.toRealPath()を使用できる。
    実在検証 パス種別 コード例 備考
    不要 絶対パス path.toAbsolutePath().normalize()
    相対パス path.normalize()
    必要 絶対パス path.toRealPath() パスが実在しない場合、NoSuchFileExceptionがスローされる。
    相対パス (該当なし)

検証コードと実行結果

検証で使ったサンプルコードや実行結果を記載します。
サンプルで使用するパスには動作確認のためにスラッシュとバックスラッシュを混在させています。

package example;

import java.io.File;
import java.io.IOException;
import java.nio.file.Path;
import java.nio.file.Paths;

public class FilePathTest {

	public static void main(String[] args) throws IOException{

		String str1 = "C:\test\work1\.\work1-1/..\..\work2";
		String str2 = ".\work1\.\work1-1/..\..\work2";
		
		System.out.println("original               : " + str1);
		File f1 = new File(str1);
		System.out.println("File.getPath()         : " + f1.getPath());
		System.out.println("File.getAbsolutePath() : " + f1.getAbsolutePath());
		System.out.println("File.getCanonicalPath(): " + f1.getCanonicalPath());
		Path p1 = Paths.get(str1);
		System.out.println("Path.toString()        : " + p1.toString());
		System.out.println("Path.toAbsolutePath()  : " + p1.toAbsolutePath());
		System.out.println("Path.normalize()       : " + p1.normalize());
		System.out.println("Path.toRealPath()      : " + p1.toRealPath());
		
		System.out.println();

		System.out.println("original               : " + str2);
		File f2 = new File(str2);
		System.out.println("File.getPath()         : " + f2.getPath());
		System.out.println("File.getPath()         : " + f2.toString());
		System.out.println("File.getAbsolutePath() : " + f2.getAbsolutePath());
		System.out.println("File.getCanonicalPath(): " + f2.getCanonicalPath());
		Path p2 = Paths.get(str2);
		System.out.println("Path.toString()        : " + p2.toString());
		System.out.println("Path.toAbsolutePath()  : " + p2.toAbsolutePath());
		System.out.println("Path.normalize()       : " + p2.normalize());
		System.out.println("Path.toRealPath()      : " + p2.toRealPath()); // NoSuchFileException
		System.out.println("Path other             : " + p2.toAbsolutePath().normalize());

	}

}

実行結果は次の通り。
Path.toRealPath()は実行時に該当パスがないとNoSuchFileException例外がスローされます。

original               : C:\test\work1\.\work1-1/..\..\work2
File.getPath()         : C:\test\work1\.\work1-1\..\..\work2
File.getAbsolutePath() : C:\test\work1\.\work1-1\..\..\work2
File.getCanonicalPath(): C:\test\work2
Path.toString()        : C:\test\work1\.\work1-1\..\..\work2
Path.toAbsolutePath()  : C:\test\work1\.\work1-1\..\..\work2
Path.normalize()       : C:\test\work2
Path.toRealPath()      : C:\test\work2

original               : .\work1\.\work1-1/..\..\work2
File.getPath()         : .\work1\.\work1-1\..\..\work2
File.getPath()         : .\work1\.\work1-1\..\..\work2
File.getAbsolutePath() : C:\jee7devkit\workspace\example\java-example\.\work1\.\work1-1\..\..\work2
File.getCanonicalPath(): C:\jee7devkit\workspace\example\java-example\work2
Path.toString()        : .\work1\.\work1-1\..\..\work2
Path.toAbsolutePath()  : C:\jee7devkit\workspace\example\java-example\.\work1\.\work1-1\..\..\work2
Path.normalize()       : work2
Path.toRealPath()      : C:\jee7devkit\workspace\example\java-example\work2
Path other             : C:\jee7devkit\workspace\example\java-example\work2


(adsbygoogle = window.adsbygoogle || []).push({});


(adsbygoogle = window.adsbygoogle || []).push({});

-1. システムエンジニアリング, Java

執筆者:

関連記事

Windows10で検証用のプロキシサーバを構築

本番環境でプロキシを介して通信を行うアプリを開発したいが、開発環境ではプロキシがない… そんな時のためにローカルに検証用のプロキシサーバを構築してみます。 概要 Windows 10(64 …

JavaEE7のJSF, Facelets, JSPの関係

JavaEEを使ったアプリ開発の際に、いつも気になるが後回しにしていたこと… HTML5への対応方法の調査等、今後の理解促進のために、調べてみた。 FaceletsとJSFとの関係は? J …

ASP.NET Core: IHttpClientFactoryの使用方法

ASP.NET Coreや.NET CoreでWebAPIの実行等のHTTP通信を行う場合はHttpClientを使用できますが、HtppClientが想定する利用シナリオを理解して使用しないと、大き …

Wildflyでリクエストをダンプする

Webアプリのデバッグや障害対応等で、Webアプリに対するリクエストやレスポンスのHTTPヘッダや内容を確認したい場合がある。 次のような場面ではクライアント側での確認ができないため、今回のようにAP …

WebサイトのSSL化

次のようなGoogleウェブマスター向け公式ブログでの推奨や、リモートか管理の安全性向上の向上のためにSSL(TLS)を有効にする。 概要 Googleさんの考え 保護されたウェブの普及を目指して(2 …

プロフィール ゆっきーです。
都内でシステムエンジニアをやっています。
もっと詳細を見る