mirror
/
c9-core
kopia lustrzana https://github.com/c9/core
1
0
Forkuj 0
Kod Zgłoszenia Packages Projekty Wydania Wiki Aktywność

decodeURIComponent can throw 

fixes https://github.com/c9/newclient/issues/13386
pull/290/head
Fabian Jakobs 2016-04-12 10:26:51 +00:00
rodzic d404d1ded9
commit ab3913a429
1 zmienionych plików z 8 dodań i 1 usunięć
Pokaż statystyki Ściągnij plik aktualizacji Ściągnij plik porównania Expand all files Collapse all files

9
plugins/c9.preview/lib/middleware/sanitize-path-param.js
Wyświetl plik

@ -1,9 +1,16 @@
"use strict"; "use strict";
var Path = require("path"); var Path = require("path");
var error = require("http-error");
module.exports = function sanitzePreviewPath(req, res, next) { module.exports = function sanitzePreviewPath(req, res, next) {
var normalized = Path.normalize(decodeURIComponent(req.params.path));
var normalized;
try {
normalized = Path.normalize(decodeURIComponent(req.params.path));
} catch(e) {
return next(new error.BadRequest("URI malformed"));
}
// N.B. Path.normalize does not strip away when the path starts with "../" // N.B. Path.normalize does not strip away when the path starts with "../"
if (normalized) if (normalized)