我使用jszip进行zip文件的解压缩,功能没任何问题,但是提交到 Google play,审核提示有路径遍历漏洞:
InputStream is = new InputStream(untrustedFileName);
ZipInputStream zis = new ZipInputStream(new BufferedInputStream(is));
while((ZipEntry ze = zis.getNextEntry()) != null) {
File f = new File(DIR, ze.getName());
String canonicalPath = f.getCanonicalPath();
if (!canonicalPath.startsWith(DIR)) {
// SecurityException
}
// Finish unzipping…
}
大意是我解压缩文件时,没有使用getCanonicalPath进行文件名的路径判断,问题是js怎么调用的java接口我也不清楚,
请问有懂相关源码,知道怎么解决这个问题的吗?感谢!!!
使用的是jszip.min.js
有人吗?求助!!!