在FastAPI中安全实现文件下载：防止目录遍历攻击的深度解析

1. 问题背景与典型场景

在现代Web应用开发中，文件下载功能广泛应用于文档管理、媒体服务和用户数据导出等场景。FastAPI因其高性能和类型提示支持，成为构建此类API的热门选择。然而，当开发者直接将用户输入（如文件名）拼接到服务器路径中时，极易引发目录遍历攻击。

例如，攻击者通过请求/download?filename=../../../etc/passwd，可能读取系统敏感文件。这类漏洞属于OWASP Top 10中的“A05: Security Misconfiguration”和“A01: Broken Access Control”范畴。

• 用户输入未验证
• 路径拼接方式不安全
• 缺乏根目录边界控制
• 符号链接未处理
• 跨平台路径分隔符差异
• URL编码绕过检测
• 相对路径解析逻辑缺陷
• 缓存或代理层路径重写风险
• 日志记录暴露路径信息
• 权限模型缺失

2. 安全路径校验的核心原则

3. 实现方案：从基础到进阶

from fastapi import FastAPI, HTTPException, Query
from pathlib import Path
import os

app = FastAPI()
BASE_DIR = Path("/safe/download/root").resolve()

@app.get("/download/")
def download_file(filename: str = Query(...)):
    # 步骤1：白名单过滤
    if not re.match(r'^[a-zA-Z0-9._-]+$', filename):
        raise HTTPException(status_code=400, detail="Invalid filename")
    
    # 步骤2：构造路径并归一化
    file_path = (BASE_DIR / filename).resolve()

    # 步骤3：确保路径在基目录下
    try:
        file_path.relative_to(BASE_DIR)
    except ValueError:
        raise HTTPException(status_code=403, detail="Access to file denied")

    # 步骤4：检查文件是否存在且为普通文件
    if not file_path.is_file():
        raise HTTPException(status_code=404, detail="File not found")

    return {"path": str(file_path)}

4. 高级防护机制设计

1. 引入异步路径校验中间件
2. 集成文件指纹与哈希白名单
3. 使用虚拟路径映射表（UUID → 实际路径）
4. 启用SELinux/AppArmor强制访问控制
5. 记录完整审计日志包含客户端IP与UA
6. 设置文件大小上限防止DoS
7. 限制并发下载数量
8. 启用HTTPS防止路径嗅探
9. 定期扫描挂载点符号链接
10. 结合OAuth2 scopes进行权限分级

5. 攻击模拟与防御验证流程图

graph TD
    A[用户请求 /download?filename=../../etc/passwd] --> B{输入是否符合白名单?}
    B -- 否 --> C[返回400 Bad Request]
    B -- 是 --> D[构造归一化路径]
    D --> E{路径是否在BASE_DIR内?}
    E -- 否 --> F[返回403 Forbidden]
    E -- 是 --> G{目标是否为合法文件?}
    G -- 否 --> H[返回404 Not Found]
    G -- 是 --> I[发送文件流响应]

6. 生产环境最佳实践清单

• 始终使用pathlib.Path而非字符串拼接
• 部署前进行渗透测试，模拟../注入
• 启用Python审计钩子监控open()调用
• 使用Docker隔离文件系统视图
• 配置反向代理（如Nginx）做二次路径过滤
• 对上传和下载路径采用不同存储卷
• 定期轮换服务账户密钥与权限
• 启用WAF规则拦截可疑路径模式
• 对静态资源使用CDN签名URL替代直接路径暴露
• 建立自动化安全合规检查流水线