2. 程式人生 > >[UWP]在應用開發中安全使用檔案資源

[UWP]在應用開發中安全使用檔案資源

阿新 發佈:2018-11-26

在WPF或者UWP應用開發中,有時候會不可避免的需要操作檔案系統(建立檔案/目錄),這時候有幾個坑是需要大家注意下的。

建立檔案或目錄時的非法字元檢測

在Windows系統中,我們建立檔案時會注意到,某些特殊字元是不可以用作檔名輸入的。

非法檔名

那麼,同樣的,如果你的應用可以提供給使用者建立檔案/目錄的功能,要特別注意的是:你必須對使用者鍵入的檔案或者目錄名檢測,避免使用者鍵入非法字元。

否則,應用可能會遇到下面這個bug:System.IO.FileNotFoundException:“檔名、目錄名或卷標語法不正確。”

非法字元異常

避免手段其實也很簡單,System.IO.Path類中可以獲取到所有的非法字元,我們只需要檢測檔案或目錄名,避免出現非法字元就可以了。

不可以在檔名中出現的字元 Path.GetInvalidFileNameChars():

char[41] { '"', '<', '>', '|', '\0', '\u0001', '\u0002', '\u0003', '\u0004', '\u0005', '\u0006', '\a', '\b', '\t', '\n', '\v', '\f', '\r', '\u000e', '\u000f', '\u0010', '\u0011', '\u0012', '\u0013', '\u0014', '\u0015', '\u0016', '\u0017', '\u0018', '\u0019', '\u001a', '\u001b', '\u001c', '\u001d', '\u001e', '\u001f', ':', '*', '?', '\\', '/' }

不可以在路徑字串中出現的字元 Path.GetInvalidPathChars():

char[36] { '"', '<', '>', '|', '\0', '\u0001', '\u0002', '\u0003', '\u0004', '\u0005', '\u0006', '\a', '\b', '\t', '\n', '\v', '\f', '\r', '\u000e', '\u000f', '\u0010', '\u0011', '\u0012', '\u0013', '\u0014', '\u0015', '\u0016', '\u0017', '\u0018', '\u0019', '\u001a', '\u001b', '\u001c', '\u001d', '\u001e', '\u001f' }

這裡給大家提供一個小竅門,使用C#互動視窗(VS2015及更高版本都可以使用),可以快速檢視程式碼片段執行結果。

C#互動視窗

在XAML中引用外部資源時的非法字元檢測

此外,在開發WPF或者UWP應用時,如果我們需要在XAML中引入外部資源URI,那麼情況會比較特殊一點。

有時候儘管你的檔名或者路徑URI均沒有包含Windows檔案系統中的非法字元,應用仍有可能崩潰。這是因為,在XAML中定義了一些不允許出現的字元,這些字元與Windows檔案系統中的非法字元不盡相同。

這些字元是:

{ ';' , '/' , '?' , ':' , '@' , '&' , '=' , '+' , '$' , ',','<' , '>' , '#' , '%' , '"' }

例如‘#’,它在檔案系統中是合法字元,但是卻不能出現在XAML中引入的外部資源URI字串裡。

這個問題在邵猛大佬的《WPF 圖片顯示中的保留字元問題》中也是有講到的,但是文章中沒有給到解決方法。

在某些情況下,如開發應用時,我們允許使用者上傳圖片到應用資料夾下作為資源使用,我們可以在拷貝資源時通過排除/替換檔名裡非法字元的方法來避免這個BUG。

public static class XamlUriHelper
{
    private static readonly char[] Excluded = { ';' , '/' , '?' , ':' , '@' , '&' , '=' , '+' , '$' , ',','<' , '>' , '#' , '%' , '"' };

    public static string GetValidName(string fileName)
    {
        foreach (var item in Excluded)
        {
            fileName = fileName.Replace(item, '_');
        }
        return fileName;
    }
}

結尾

上面說到的兩種情況,第一種是比較好處理的,而第二種需要一些折中的處理手段。另外吐槽一點,XAML應用這麼久了,第二種情況按理說是不應該出現的,不知道微軟方面有沒有注意到(或者說是否有官方解決方法,類似轉義符什麼的?)。如果有了解這個問題的大佬,歡迎在評論區指出!

這篇博文到此結束,謝謝大家!

相關推薦

[UWP]在應用開發安全使用檔案資源

在WPF或者UWP應用開發中,有時候會不可避免的需要操作檔案系統(建立檔案/目錄),這時候有幾個坑是需要大家注意下的。 建立檔案或目錄時的非法字元檢測 在Windows系統中,我們建立檔案時會注意到,某些特殊字元是不可以用作檔名輸入的。 那麼,同樣的,如果你的應用可以提供給使用者建立檔案/目錄的功能

.Net語言 APP開發平臺——Smobiler學習日誌:在手機應用開發如何實現跳轉地圖

demo hand 操作 窗體 clas com ps1 ati void 一、目標樣式 我們要實現上圖中的效果,需要如下的操作: 二、跳轉地圖代碼 VB: Private Sub Button1_Click(sender As Object, e As Ev

Java應用開發的SQL註入攻擊

包括 安全防護 sql註入 什麽 由於 應用程序 輸入數據 數據庫防火墻 進行 1. 什麽是SQL註入攻擊? SQL註入攻擊是黑客對數據庫進行攻擊的常用手段之一。隨著B/S模式應用開發的發展,使用這種模式編寫應用程序的程序員越來越多。但是由於程序員的水平及經驗參差不齊,相當

Android應用開發三種常見的圖片壓縮方法

Android應用開發中三種常見的圖片壓縮方法,分別是:質量壓縮法、比例壓縮法(根據路徑獲取圖片並壓縮)和比例壓縮法(根據Bitmap圖片壓縮)。 一、質量壓縮法 private Bitmap compressImage(Bitmap image) { ByteArrayOutput

應用開發,網易雲音樂如何兼顧質量和效益

在應用開發中,質量和效益是非常關鍵的因素。網易雲音樂作為使用者人數突破4億,成就移動音樂傳奇的應用,是如何在開發中兼顧質量和效益的?網易雲音樂Android負責人樑建將為您解讀。 框架賦能 典型的開發框架從上往下分為三層,分別是業務層、服務層、能力層,三者之間是垂直依賴的關係,且業務層之間的水平模組不互相依

SSH開發檔案上傳

檔案上傳的要素 表單提交方式必須是POST 表單的enctype屬性:必須設定為multipart/form-data 表單必須有檔案上傳項:file 表單 <form id=form1 name=form1 action="${pageCont

移動應用開發AppID、AppKey、AppSecret到底是什麼?

AppID:應用的唯一標識 AppKey:公匙(相當於賬號) AppSecret:私匙(相當於密碼) token:令牌(過期失效) 使用方法 1. 向第三方伺服器請求授權時,帶上AppKey和AppSecret(需存在伺服器端) 2. 第三方伺服器驗證AppKey

Android開發的學習資源大集合

如果你不知道Java程式語言或者說你是從其他語言轉過來的,需要熟悉下Java的話,下面這些是很好的讓你開始瞭解Java的學習資源。 當你學好了Java,你已經準備好正式開始學習Android開發了 注: 即使你不打算看下面的,不過上面這個一定要看(譯者注:上面這個真的很乾貨,一定要看)

Web開發檔案上傳問題研究

前因:因為web開發用到檔案上傳功能,搜尋到了Valums,感覺很不錯,特別是它在非IE瀏覽器下通過HTML5技術來支援多檔案上傳,支援拖拽功能等,不過在具體用中並不順利,Valums在FF下罷工,追究原因,原來跟我使用Aapche FIleUpload有關,再追究,對檔案上

web應用開發中文亂碼問題

web應用中中文亂碼問題 在java程式中,出現中文亂碼問題的原因的根源在於java程式和其他儲存媒介互換資料時,兩者編碼方案不同。 常見的中文字元編碼: GB2312-80 GB2312是簡體漢字標準字元編碼方案,是基於區位碼設計的。收錄了常用的簡體

31、你瞭解Java應用開發的注入攻擊嗎?

安全是軟體開發領域永遠的主題之一,隨著新技術浪潮的興起,安全的重要性愈發凸顯出來,對於金融等行業,甚至可以說安全是企業的生命線。不論是移動裝置、普通 PC、小型機,還是大規模分散式系統,以及各種主流作業系統,Java 作為軟體開發的基礎平臺之一,可以說是無處不在,自然也就成為安全攻擊的首要

Android應用開發保持手機螢幕常亮的方法

如果你開發一個手機App,某一個功能要執行某個操作比較費時,那麼我們的選擇是採用執行緒來做,然後通過一個handler來發送訊息給管理介面的執行緒來重新整理介面。但是時間太長的話,會發現手機螢幕不亮了,儘管你的App沒有退出,但是那個執行的執行緒它也不工作了,除非你按下p

元資料(metadata)在企業應用開發的作用

元資料(metadata)介紹:Metadata(元資料),它是“關於資料的資料”(data about data),近年來在軟體設計中Metadata有廣泛的應用。在程式設計中,元資料不是被處理的物件

iOS應用開發的裝置標識

對於iOS應用開發者來說,蘋果所提供的官方後臺系統實際上就是iTunes Connect了。通過iTunes Connect我們建立應用記錄,提交應用給蘋果稽核,釋出應用,通過iTunes Connect我們可以配置銀行卡收錢( 這個很重要:) ),我們可以看到應用的

Android應用開發如何使用隱藏的API

        Android應用中有時為了實現某些特殊的功能或效果,往往需要使用一些谷歌隱藏的API(加有@hide標記的public類、方法或常量),例如PolicyManager。         使用Android隱藏的API主要有兩種辦法:1.利用Java反射機制

JAVA在網際網路應用開發細枝末節

相信各們前端技術研發的小夥伴,把我整理的這些內容看一遍,就能對前端技術有一個總體的理解,把裡面每一項學習一遍,就能成為一個合格的前端工程師。 前端技術需求場景:大公司裡怎樣開發和部署前端程式碼? 前端開發工具---FIS使用總結 Bootstrap相關優質專案

IOS iPhone 開發檔案讀寫及資料儲存(一)

 資料的儲存無疑是軟體開發中的重要課題。本文給初學者介紹下iphone開發中常見的檔案讀寫,當然,我也是初學者~ iOS的檔案儲存採用的是“沙箱機制”,也就是應用程式只能訪問自己的檔案目錄,每個應用程式的資料是獨立的,就像一個一個的沙箱一樣。這種管理方法比windows和原

Android應用開發的風格和主題(style,themes)

 越來越多網際網路企業都在Android平臺上部署其客戶端,為了提升使用者體驗,這些客戶端都做得佈局合理而且美觀.......Android的Style設計就是提升使用者體驗的關鍵之一。Android上的Style分為了兩個方面: Theme是針對窗體級別的,改變窗體樣式

Delphi XE8移動應用開發Andr​​oid許可權設定

本文摘自《Delphi XE8 iOS與Android移動應用開發教程[完整中文版]》,該書是一本介紹使用delphi xe8開發iOS與Android移動應用的電子書(開發教程與開發手冊)。 本節內容主要介紹使用Delphi XE系列工具開發Android應用時需要使

循序漸進VUE+Element 前端應用開發(17)--- 選單資源管理

在許可權管理系統中,選單也屬於許可權控制的一個資源,應該直接應用於角色,和許可權功能點一樣,屬於角色控制的一環。不同角色使用者,登入系統後,出現的系統選單是不同的。在VUE+Element 前端中,我們選單結合路由集合,實現可訪問路由的過濾,也就實現了對應角色選單的展示和可訪問路由的控制,詳細可以參考隨筆《循