修复zip解压的安全缺陷

tuoli · tuoli · commit 9c0bbc99b401 · 2016-12-20T20:10:35.000+08:00
diff --git a/Android/LuaViewSDK/src/com/taobao/luaview/scriptbundle/ScriptBundle.java b/Android/LuaViewSDK/src/com/taobao/luaview/scriptbundle/ScriptBundle.java
@@ -190,7 +190,13 @@ public static ScriptBundle unpackBundle(boolean isBytecode, boolean saveFile, fi
         String fileName = null;
         String filePath = null;
         while ((entry = zipStream.getNextEntry()) != null) {
-            fileName = FileUtil.getSecurityFileName(entry.getName());//TODO 这里需要重新修改下，需要处理一下../ 这种方式只能使用单层路径，不能处理子目录，在这里可以添加公用path
+            // 处理../ 这种方式只能使用单层路径，不能处理子目录，在这里可以添加公用path
+            String szName = entry.getName();
+            if(szName != null && szName.indexOf("../") != -1){
+                return null;
+            }
+
+            fileName = FileUtil.getSecurityFileName(szName);
 
             if (saveFile && entry.isDirectory()) {
                 filePath = FileUtil.buildPath(scriptBundleFolderPath, fileName);
