1
var http = require('http');
var url=   require('url');
var util=  require('util');
var fs =   require('fs');

var body_404="<html><body><center>404 error</center></body></html>";

http.createServer(function (req,res) {
 var what = url.parse("http://127.0.0.1:1235"+req.url);
 var pathname = what.pathname;

 switch(pathname) { 
  case "/":
   pathname="/www/index.html";
  default:
   res.writeHead(200, {'Content-type' : 'text/html'});
   ret = res; 
   fs.stat("."+pathname, function (err, stat) {
    if(err)
     res.write(body_404);
    else
     res.write(fs.readFileSync("."+pathname));
   });
   res.end();
   break;
 }
}).listen(1235, '127.0.0.1');

我想知道为什么 fs.stat 回调中的 write 方法实际上并没有向客户端写入任何内容。我相信 res 在范围内。

4

1 回答 1

6

res.end之前打过电话res.write。因此,没有任何东西被写出来。将调用移动res.end到 stat 处理程序中:

var http = require('http');
var url=   require('url');
var util=  require('util');
var fs =   require('fs');
var path = require('path');

var body_404="<html><body><center>404 error</center></body></html>";
var rootPath = path.abspath(".");

http.createServer(function (req,res) {
 var what = url.parse("http://127.0.0.1:1235"+req.url);
 var pathname = what.pathname;
 var buffer;

 switch(pathname) { 
  case "/":
   pathname="/www/index.html";
  default:
   var filename = path.join(rootPath, pathname);
   if (filename.indexOf(rootPath) !== 0) {
     res.writeHead(400, {'Content-type': 'text/plain'});
     res.write('Directory traversal attack averted.');
     res.end();
     return;
   }
   fs.readFile(function (err, content) {
    if(err) {
      res.writeHead(404, {'Content-type' : 'text/html'});
      res.write(body_404);
    } else {
      res.writeHead(200, {'Content-type' : 'text/html'});
      res.write(content);
    }
    res.end();
   });
   break;
 }
}).listen(1235, '127.0.0.1');

另请注意,您的原始代码容易受到目录遍历攻击,并且在和之间存在竞争条件os.statos.readFileSync

于 2012-09-09T21:54:53.113 回答