У меня есть довольно простой сервер express.js, на котором я создал папку private для папки public.Все запросы, начинающиеся с /private, обслуживаются статическими файлами из этой папки, если они имеют соответствующие заголовки авторизации.В противном случае они перенаправляются и обслуживаются файлы из папки public.Итак, вот базовая настройка:
Структура папки:
-root
--- public
--- private
app.js:
app.use(express.static(path.join(__dirname, 'public')));
app.use('/private', requireAuth, express.static(path.join(__dirname, 'private')));
Интересно, есть ли у пользователя какой-либо способперейдите в каталог «вверх на один» из папки public, чтобы получить доступ к файлам из папки private, что полностью нарушит мои меры безопасности.Другими словами, безопасно ли обслуживать произвольные статические файлы из любого каталога на сервере, где некоторые каталоги должны быть частными?