Express 5中sendFile方法处理隐藏目录的问题解析

在Express 5.1.0版本中，当应用程序被打包成AppImage格式时，使用res.sendFile()方法访问隐藏目录下的文件会出现NotFoundError错误。这个问题源于Express 5.x版本对send模块的升级，导致对隐藏目录的处理方式发生了变化。

问题背景

在Linux系统中，以点号(.)开头的目录被视为隐藏目录。当Express应用程序被打包成AppImage格式时，系统会创建一个临时挂载点目录，例如.mount_Karaokj5Gnrt。在Express 4.x版本中，sendFile方法可以正常访问这类隐藏目录下的文件，但在升级到Express 5.x后，默认情况下会拒绝访问隐藏目录。

技术原理

Express 5.x版本将底层的send模块从0.x升级到了1.x版本。这个新版本出于安全考虑，默认情况下会阻止对隐藏文件/目录的访问。这是为了防止意外泄露服务器上的敏感文件(如.env或.git目录)。

当应用程序尝试访问类似/tmp/.mount_Karaokj5Gnrt/resources/kmfrontend/dist/index.html这样的路径时，由于路径中包含.mount_Karaokj5Gnrt这个隐藏目录，新的send模块会主动拒绝访问并抛出NotFoundError错误。

解决方案

要解决这个问题，开发者需要在调用sendFile方法时显式地设置dotfiles选项：

app.get('/*splat', (_req, res) => {
    res.sendFile(resolve(state.resourcePath, 'kmfrontend/dist/index.html'), {
        dotfiles: 'allow'
    });
});

将dotfiles选项设置为'allow'后，Express就会允许访问隐藏目录下的文件。需要注意的是，目前Express没有提供全局设置此选项的方法，开发者需要在每个sendFile调用中单独指定。

安全考虑

虽然这个解决方案可以解决问题，但开发者应当谨慎使用dotfiles: 'allow'选项。特别是在处理用户提供的路径时，应当确保不会因此暴露敏感文件。在AppImage打包场景下，由于路径是固定的且由打包系统控制，这种风险相对较低。

总结

Express 5.x对文件访问安全性的提升导致了隐藏目录访问行为的变化。开发者在使用AppImage等会创建隐藏目录的打包工具时，需要注意这一变化并适当调整代码。理解这一问题的本质有助于开发者在类似场景下快速定位和解决问题。