Hızlı res. Gönderme dosyası yasak hatası atma

Bu kod var:

res.sendfile( '../../temp/index.html' )

Ancak, bu hatayı atar:

Error: Forbidden
at SendStream.error (/Users/Oliver/Development/Personal/Reader/node_modules/express/node_modules/send/lib/send.js:145:16)
at SendStream.pipe (/Users/Oliver/Development/Personal/Reader/node_modules/express/node_modules/send/lib/send.js:307:39)
at ServerResponse.res.sendfile (/Users/Oliver/Development/Personal/Reader/node_modules/express/lib/response.js:339:8)
at exports.boot (/Users/Oliver/Development/Personal/Reader/server/config/routes.js:18:9)
at callbacks (/Users/Oliver/Development/Personal/Reader/node_modules/express/lib/router/index.js:161:37)
at param (/Users/Oliver/Development/Personal/Reader/node_modules/express/lib/router/index.js:135:11)
at pass (/Users/Oliver/Development/Personal/Reader/node_modules/express/lib/router/index.js:142:5)
at Router._dispatch (/Users/Oliver/Development/Personal/Reader/node_modules/express/lib/router/index.js:170:5)
at Object.router (/Users/Oliver/Development/Personal/Reader/node_modules/express/lib/router/index.js:33:10)
at next (/Users/Oliver/Development/Personal/Reader/node_modules/express/node_modules/connect/lib/proto.js:199:15)

Biri bana bunun neden olabileceğini söyleyebilir mi?

Göreli yoldan dolayı olduğuna inanıyorum; "../" kötü amaçlı olarak değerlendirilir. Önce yerel yolu çözün, sonra arayın res.sendfile. Yolu path.resolveönceden çözebilirsiniz .

var path = require('path');
res.sendFile(path.resolve('temp/index.html'));

Bu cevap diğer cevaplardan / yorumlardan gelen bilgileri bir araya getirir.

İşlem çalışma dizinine (cwd) veya dosya dizinine göre bir şey eklemek isteyip istemediğinize bağlıdır. Her ikisi de path.resolveişlevi kullanır ( var path = require('path')dosyanın üstüne konur .

• cwd'ye göre: path.resolve('../../some/path/to/file.txt');
• dosyaya göre: path.resolve(__dirname+'../../some/path/to/file.txt');

@ Joe'nun yorumundaki bağlantıyı okurken, yol için kullanıcı girişini kabul ederseniz göreceli yollar bir güvenlik riski gibi görünüyor (örn sendfile('../.ssh/id_rsa'). Bir bilgisayar korsanının ilk denemesi olabilir).

Ekspres dokümantasyon bunu farklı bir şekilde yapıyor önerir ve bence daha sonra şimdiki çözümü daha mantıklı.

res.sendFile('index.html', {root: './temp'});

Kök seçeneği ./, projenizin kök dizini olarak ayarlanmış gibi görünüyor . Dolayısıyla, dosyanızın proje köküyle ilişkili olarak nerede olduğunu tam olarak söyleyemem, ancak geçici klasörünüz varsa, ./tempgönderdiğiniz dosyanın kökünü ayarlayabilirsiniz .