1.使用最新的SSZipArchive库防止目录穿越
不确定版本可以查看库源码是否存在以下代码,如果有则可以继续使用
//防止目录穿越代码
if ([strPath rangeOfString:@"../"].location != NSNotFound) {
// "../../../../../../../../../../../tmp/test.txt" -> "tmp/test.txt"
strPath = [[[NSURL URLWithString:strPath] standardizedURL] absoluteString];
}
-
对存放关键数据的文件进行加密,合法性和完整性校验
1)使用SSZipArchive的加密解密方法
2)可以在下载的协议头中返回一个使用 “zip包MD5值+密钥” 进行DES加密的字符串,
客户端下载完成zip包之后,计算zip包MD5值,使用 “zip包MD5值+密钥” 进行DES加
密验证。
3)使用HTTPS安全传输协议通信防止数据被篡改(必须)