根据 OWASP 统计数据显示，错误文件处理导致的漏洞占 Web 应用漏洞的 15%，因此在 Node.js 异步文件上传接口中，必须强制配置 preservePath: false 并限制 fileSize 不超过 10MB 以防止路径遍历攻击。

原因分析

路径遍历漏洞的核心在于服务端未校验客户端传来的文件名参数，攻击者可通过构造包含 ../ 序列的 filename 参数访问敏感文件。根据 2023 年 Stack Overflow 开发者调查，超过 50% 的专业开发者使用 Node.js 进行后端开发，其广泛的生态使得此类漏洞影响面极大。OWASP 2023 年 API 安全报告进一步指出，超过 41% 的组织曾遭遇 API 安全事件，其中未授权访问占 API 攻击总量的 42%，文件上传接口往往是未授权访问的重灾区。

解决方案

1. 配置中间件安全限制

在使用 Busboy 或 Multer 时，必须显式设置 limits 对象。参考 CSDN 博客提供的 Busboy 安全防护指南，建议配置 fileSize 为 10*1024*1024（即 10MB），files 限制为 5 个，parts 限制为 20 个。关键代码示例：const bb = busboy({ headers: req.headers, limits: { fileSize: 10*1024*1024, files: 5 }, preservePath: false }); 其中 preservePath: false 是默认值，但必须确认未被修改，以确保自动剥离文件名中的路径信息。

2. 生成随机安全文件名

永远不要信任客户端提供的文件名。正确的做法是生成随机文件名，例如使用 const safeFilename = `upload-${Date.now()}-${Math.random().toString(36).substr(2, 9)}`; 并将文件保存至独立目录，如 path.join(uploadDir, safeFilename)。

3. 实施二进制文件头校验

仅验证扩展名或 MIME 类型是不够的，需读取文件底层二进制数据的前 8 个字节。根据 Vue3+Node.js 实现文件上传并发控制与安全防线 进阶篇 中的实践，JPG 文件头应为 buffer[0]===0xff && buffer[1]===0xd8，PNG 文件头应为 buffer[0]===0x89 && buffer[1]===0x50。无论用户怎么改后缀，文件底层的二进制编码无法伪造。

注意事项

开发者常犯的错误是依赖客户端提供的 MIME 类型，如 file.mimetype，这极易被欺骗。另外，若后续需要扫描上传目录，使用 Node-Glob 时需配置 maxDepth: 3 限制搜索深度，避免无限递归。同时应设置 ignore 选项排除 node_modules/** 和 .git/** 等敏感目录，防止配置泄露。

参考来源

来源：CSDN 博客 - Busboy 安全防护指南：防范恶意文件上传的 10 个要点

来源：OWASP 2023 年 API 安全报告 - Node.js 接口安全防御实践

来源：技术博客 - Vue3+Node.js 实现文件上传并发控制与安全防线 进阶篇