Tvheadend项目中Content-Disposition头部的安全处理机制

在Web应用开发中，正确处理文件下载时的Content-Disposition头部是一个常见但容易被忽视的安全细节。Tvheadend项目最近针对这一问题进行了重要修复，通过引入文件名净化机制，确保了HTTP响应头部的安全性。

Content-Disposition是HTTP响应头部中的一个字段，用于指示浏览器如何处理服务器返回的内容。当设置为"attachment"时，它会提示浏览器将响应作为文件下载，而不是在页面中直接显示。这个头部通常包含一个filename参数，指定下载文件的默认名称。

在Tvheadend的早期实现中，直接将用户提供的文件名放入Content-Disposition头部存在潜在风险。恶意用户可能构造包含特殊字符的文件名，导致HTTP响应头部格式错误或引发安全漏洞。例如，包含换行符的文件名可能导致HTTP响应头注入攻击。

项目团队通过分析发现，问题主要出在webui.c文件中的静态文件处理函数。当用户请求下载文件时，系统会直接使用请求路径中的文件名部分构造Content-Disposition头部，而没有进行必要的字符过滤。

解决方案是引入一个专门的净化函数sanitize_filename()。这个函数会对文件名进行以下处理：

1. 过滤所有ASCII控制字符（ASCII码小于32的字符）
2. 过滤ASCII码大于122的非标准字符
3. 替换掉操作系统保留字符：/、:、\、<、>、|、*、?、"等

实现上，该函数采用逐个字符检查的方式，将不符合要求的字符替换为下划线。这种处理方式既保证了文件名的安全性，又保持了其可读性。值得注意的是，净化过程仅影响HTTP头部中的显示名称，不会改变实际存储的文件路径。

这种处理机制在文件下载功能中尤为重要，因为它：

1. 防止HTTP头部注入攻击
2. 确保浏览器能正确解析下载文件名
3. 避免因特殊字符导致的下载失败
4. 保持跨平台兼容性

从实现细节来看，项目采用了tvh_strdupa()函数创建字符串副本进行处理，这是一种线程安全的做法。同时，净化操作仅针对文件名部分，不影响完整的文件路径，确保了文件访问的正确性。

这一改进展示了Tvheadend项目对安全细节的关注，也为其他类似项目提供了很好的参考。在Web开发中，正确处理用户提供的所有输入数据，包括看似无害的文件名，是构建安全系统的关键一环。