防御路径遍历攻击的最佳方法是什么？

以下可能会有所帮助。它比较规范路径和绝对路径，如果它们不同，则失败。仅在mac / linux系统上进行测试（即没有窗口）。

这适用于您希望允许用户提供相对路径（而不是绝对路径）并且不允许任何父目录引用的情况。

public void failIfDirectoryTraversal(String relativePath)
{
    File file = new File(relativePath);

    if (file.isAbsolute())
    {
        throw new RuntimeException("Directory traversal attempt - absolute path not allowed");
    }

    String pathUsingCanonical;
    String pathUsingAbsolute;
    try
    {
        pathUsingCanonical = file.getCanonicalPath();
        pathUsingAbsolute = file.getAbsolutePath();
    }
    catch (IOException e)
    {
        throw new RuntimeException("Directory traversal attempt?", e);
    }


    // Require the absolute path and canonicalized path match.
    // This is done to avoid directory traversal 
    // attacks, e.g. "1/../2/" 
    if (! pathUsingCanonical.equals(pathUsingAbsolute))
    {
        throw new RuntimeException("Directory traversal attempt?");
    }
}

如果你在unix机器上运行这个（我不确定Windows是否有类似的东西，但它可能），你会想看看chroot。即使您认为您击中了某人引用几个目录的所有方法，也可以让操作系统在那里强制执行该事实。

（chroot 导致 '/' 引用其他目录，因此 “/” 可能是 “/home/me/project” 和 “/../../..“ 仍然是 ”/home/me/project“。）

编辑：

有一个 chroot 系统调用以及一个 chroot 命令行工具。我不知道Java是否有本机方法，但没有什么可以阻止您使用命令行工具运行服务器。当然，这应该是除了尽最大努力防止其他路径操作之外。