Express发送HTML文件的路径安全与生产实践

1. 为什么用 Express 发送 HTML 文件不是“把文件拖进浏览器”那么简单很多人第一次接触 Node.js 后端时会下意识地认为“我写好一个index.html双击就能打开那用 Express 不就是把它‘发出去’吗”——这个想法方向没错但落地时几乎必然踩坑。我带过十几期前端转全栈的训练营90% 的学员在第一个 Express 静态页项目里卡在同一个地方页面空白、控制台报 404、CSS 和 JS 全部加载失败、甚至连title都不显示。问题从来不在 HTML 写得对不对而在于Express 不是文件服务器的快捷方式它是一套有明确生命周期和路径语义的响应引擎。核心矛盾就藏在你敲下的那一行代码里res.sendFile(path.join(__dirname, index.html))。这行代码背后至少牵扯四个必须厘清的层面当前工作目录__dirname的真实值、请求路径与物理路径的映射关系、MIME 类型的自动推断逻辑、以及浏览器对相对资源link hrefstyle.css的解析上下文。比如当你在浏览器访问http://localhost:3000/about而 Express 用sendFile返回了index.html那么浏览器会默认认为所有相对路径都基于/about/这个 URL 前缀去加载资源——结果它试图请求http://localhost:3000/about/style.css而你的 CSS 文件实际在/style.css。这就是典型的“路径错位”不是代码写错了而是对 Express 的响应机制理解浅了。更隐蔽的问题来自开发环境与生产环境的割裂。本地用node server.js启动__dirname指向项目根目录但一旦打包成 Docker 镜像或部署到 PaaS 平台__dirname可能指向/app/dist或/var/www而 HTML 文件却放在/public下。这时候path.join(__dirname, index.html)就会拼出一个根本不存在的路径sendFile抛出ENOENT错误但 Express 默认不会把这种错误堆栈打到浏览器上只返回一个空的 500 页面——你刷新十次看到的都是白屏连调试入口都找不到。所以“How To Deliver HTML Files with Express” 这个标题表面是教你怎么写一行代码实质是带你建立一套路径感知、环境隔离、错误可追溯的静态文件交付心智模型。它解决的不是“能不能发”而是“发得稳、发得准、发得可维护”。接下来我会从最基础的单页发送开始一层层剥开路径、路由、MIME、错误处理这些被新手忽略的硬核细节每一步都附上我在线上环境真实踩过的坑和验证过的解法。2. 单页 HTML 发送从sendFile到路径安全的完整闭环2.1sendFile的底层逻辑与三个致命陷阱res.sendFile()是 Express 提供的专用方法用于将文件作为响应体发送。它比res.send(fs.readFileSync(...))更安全因为内部做了流式传输、缓存头设置、范围请求Range支持等。但它的安全性完全依赖于你传入的路径参数。我见过太多人这样写// ❌ 危险示范绝对路径硬编码 res.sendFile(/Users/you/project/public/index.html); // ❌ 危险示范用户输入直接拼接XSS 路径遍历双重风险 app.get(/page/:name, (req, res) { res.sendFile(path.join(__dirname, pages, req.params.name .html)); }); // ❌ 危险示范忽略异步错误处理 res.sendFile(path.join(__dirname, index.html)); // 没有 .catch() 或 try/catch这三个写法分别对应三类高危问题环境不可移植性硬编码绝对路径让代码无法在其他机器运行。/Users/you/...在 Linux 服务器上根本不存在。路径遍历攻击Path Traversal当req.params.name是../../etc/passwd时path.join会解析为/Users/you/project/pages/../../etc/passwd最终变成/etc/passwd——你的服务器密码文件就被下载了。这是 Web 安全 OWASP Top 10 中的经典漏洞。静默失败sendFile是异步操作如果文件不存在或权限不足它会调用next(err)把错误交给 Express 的错误处理中间件。如果你没定义错误处理中间件这个错误就会被吞掉浏览器只看到空白页。正确的做法是构建一个路径白名单 安全解析 显式错误捕获的闭环。我们以发送index.html为例逐步实现const express require(express); const path require(path); const app express(); // ✅ 第一步定义安全的根目录永远基于 __dirname const PUBLIC_DIR path.join(__dirname, public); // 所有静态文件放在这里 // ✅ 第二步使用 path.resolve() 替代 path.join()防止路径遍历 app.get(/, (req, res) { // path.resolve 会规范化路径丢弃所有 .. 和 .强制从根开始解析 const targetPath path.resolve(PUBLIC_DIR, index.html); // ✅ 第三步显式检查目标路径是否在白名单内关键防御 if (!targetPath.startsWith(PUBLIC_DIR)) { return res.status(403).send(Forbidden: Path traversal attempt detected); } // ✅ 第四步用 try/catch 包裹 sendFile捕获同步和异步错误 try { res.sendFile(targetPath); } catch (err) { console.error(Failed to send index.html:, err); res.status(500).send(Internal Server Error); } });这段代码的关键点在于path.resolve()和startsWith()的组合。path.resolve(PUBLIC_DIR, ../../etc/passwd)的结果是/etc/passwd而/etc/passwd.startsWith(/your/project/public) 必然为false从而触发 403 禁止访问。这是防御路径遍历最简单也最有效的一道防线。提示path.normalize()也能处理..但它不会改变路径的“起点”比如path.normalize(/a/b/../../c)得到/c依然可能跳出白名单。path.resolve()是更彻底的解决方案。2.2 MIME 类型为什么你的 HTML 被当成纯文本下载另一个常被忽视的细节是 MIME 类型。当你用res.sendFile()发送index.html时Express 会根据文件扩展名自动设置Content-Type响应头。理想情况下它应该设为text/html; charsetutf-8。但如果你的 HTML 文件没有.html后缀比如叫home或者扩展名被误写为.htmL大小写敏感Express 就可能无法识别退化为application/octet-stream—— 浏览器看到这个类型第一反应不是渲染而是弹出“下载文件”对话框。我曾经部署一个营销落地页上线后客户反馈“点开是下载不是网页”。排查了半小时才发现运维同事在打包时把index.html重命名为index去掉了后缀而 Express 的 MIME 推断库mime对无后缀文件默认返回application/octet-stream。修复方案很简单手动指定Content-Type。app.get(/landing, (req, res) { const filePath path.resolve(PUBLIC_DIR, index); res.setHeader(Content-Type, text/html; charsetutf-8); res.sendFile(filePath); });更彻底的方案是配置 Express 的static中间件它内置了更完善的 MIME 类型映射表并支持自定义扩展名// 在 app.use(express.static(...)) 之前添加 const mime require(mime); mime.define({ text/html: [landing] // 将 .landing 扩展名映射为 text/html }); app.use(express.static(PUBLIC_DIR));这样即使你把文件命名为index.landingstatic中间件也能正确设置Content-Type。对于需要高度定制化 MIME 的场景比如发送 SVG、WebP 图片手动setHeader是最可控的方式。2.3 开发与生产环境的路径一致性__dirname的真相__dirname是 Node.js 的全局变量指向当前模块所在目录的绝对路径。在server.js里它通常是项目根目录但在src/server/index.js里它就是src/server。很多人的项目结构是my-app/ ├── package.json ├── server.js -- __dirname 指向这里 ├── public/ │ ├── index.html │ └── style.css └── src/ └── ... -- 这里也有自己的 __dirname但如果项目用了 TypeScript 或 Babel 编译源码在src/编译后输出到dist/那么dist/server.js的__dirname就是dist/而public/目录还在项目根目录。此时path.join(__dirname, public/index.html)就会去找dist/public/index.html显然不存在。解决方案是统一使用process.cwd()当前工作目录作为基准因为它始终是执行node命令时所在的目录也就是package.json所在的位置// ✅ 推荐用 process.cwd() 保证环境一致性 const PUBLIC_DIR path.join(process.cwd(), public); // 如果 public 目录在 src 同级但你希望从 src 启动可以这样 // const PUBLIC_DIR path.join(process.cwd(), .., public);在package.json的scripts中明确指定启动路径能进一步消除歧义{ scripts: { dev: cd ./ node server.js, start: cd ./ NODE_ENVproduction node dist/server.js } }这样无论你在项目根目录还是子目录执行npm run devprocess.cwd()都指向项目根PUBLIC_DIR的计算就稳定了。这是我在线上服务中坚持了五年的实践从未因路径问题导致过部署失败。3. 多页路由与 SPA 入口如何让/user/profile也返回index.html3.1 传统多页应用MPA的路由映射策略在传统的多页应用中每个 URL 对应一个独立的 HTML 文件/→index.html/about→about.html/contact→contact.html。实现起来看似简单但路径管理很快会失控。假设你的public目录结构如下public/ ├── index.html ├── about.html ├── contact.html └── assets/ ├── css/ └── js/你可能会写出这样的路由// ❌ 重复代码难以维护 app.get(/, (req, res) res.sendFile(path.resolve(PUBLIC_DIR, index.html))); app.get(/about, (req, res) res.sendFile(path.resolve(PUBLIC_DIR, about.html))); app.get(/contact, (req, res) res.sendFile(path.resolve(PUBLIC_DIR, contact.html)));当页面增加到 20 个时这种写法就成了噩梦。更好的方式是建立 URL 路径与文件系统路径的映射规则。核心思路是将请求路径/about转换为文件路径about.html然后进行白名单校验。// ✅ 动态路由将 /xxx 映射到 xxx.html app.get(/:page, (req, res) { const { page } req.params; // 1. 只允许字母、数字、短横线、下划线过滤非法字符 if (!/^[a-z0-9_-]$/i.test(page)) { return res.status(400).send(Invalid page name); } // 2. 构建目标文件路径 const targetFile ${page}.html; const targetPath path.resolve(PUBLIC_DIR, targetFile); // 3. 白名单校验确保 targetPath 在 PUBLIC_DIR 下 if (!targetPath.startsWith(PUBLIC_DIR)) { return res.status(403).send(Forbidden); } // 4. 尝试发送失败则 404 res.sendFile(targetPath, (err) { if (err) { // sendFile 的回调 err 是标准 Node.js 错误对象 if (err.code ENOENT) { res.status(404).send(Page not found); } else { console.error(Failed to send ${targetFile}:, err); res.status(500).send(Server error); } } }); });这个方案的关键在于res.sendFile的回调函数。它会在文件发送完成或出错时被调用err参数包含了具体的错误原因。通过判断err.code ENOENTNo such file or directory我们可以精准地返回 404而不是让错误穿透到全局处理器。这是处理“页面不存在”场景最干净的方式。注意res.sendFile的回调是可选的但强烈建议使用。它比try/catch更可靠因为sendFile的某些错误如网络中断可能不会抛出异常但一定会触发回调。3.2 单页应用SPA的“兜底路由”为什么/user/123/edit必须返回index.html现代前端框架React、Vue、Angular构建的 SPA其路由是前端 JavaScript 控制的。URL/user/123/edit并不对应一个真实的user/123/edit.html文件而是由前端路由库如 React Router解析并渲染组件。因此Express 的任务是对所有非 API、非静态资源的请求一律返回index.html把路由控制权交给前端。这听起来简单但实现时有两个深坑API 路由优先级你的 API 接口如/api/users必须在 SPA 路由之前定义否则/api/users请求会被*路由捕获返回index.html导致 AJAX 调用失败。静态资源拦截/assets/css/main.css这样的请求应该由express.static中间件处理而不是落到兜底路由里。否则index.html会被当作 CSS 文件返回浏览器解析失败。正确的中间件顺序是// 1. 静态资源中间件优先匹配 app.use(/assets, express.static(path.join(PUBLIC_DIR, assets))); // 2. API 路由次优先 app.use(/api, apiRouter); // 假设你有一个 apiRouter // 3. SPA 兜底路由最后匹配 app.get(*, (req, res) { // ✅ 关键只对非 API、非静态资源的请求返回 index.html // 这里可以加更精细的判断比如检查 req.path 是否以 /api 或 /assets 开头 if (req.path.startsWith(/api) || req.path.startsWith(/assets)) { return res.status(404).send(Not Found); } res.sendFile(path.resolve(PUBLIC_DIR, index.html)); });但更健壮的做法是利用express.static的fallthrough选项。默认情况下express.static在找不到文件时会调用next()把请求交给下一个中间件。我们可以利用这一点让static先尝试找静态文件找不到再交给兜底路由// ✅ 推荐利用 static 的 fallthrough 特性 app.use(express.static(PUBLIC_DIR, { fallthrough: true })); // 所有未被 static 匹配的请求即文件不存在都会走到这里 app.get(*, (req, res) { // 再次检查是否是 API 请求避免干扰 if (req.path.startsWith(/api)) { return res.status(404).send(API endpoint not found); } res.sendFile(path.resolve(PUBLIC_DIR, index.html)); });fallthrough: true是express.static的默认行为但显式写出是为了强调其作用。这种方式简洁、符合 Express 的中间件哲学且天然支持所有静态文件类型HTML、CSS、JS、图片、字体无需为每种类型单独写路由。3.3 HTML 中的base标签解决相对路径的终极方案即使你正确配置了 SPA 路由前端页面里的相对路径script srcbundle.js、link hrefcss/app.css在深层路由下仍可能失效。例如用户直接访问/user/123/edit浏览器会尝试从/user/123/edit/bundle.js加载 JS而实际路径是/bundle.js。最通用的解决方案是在index.html的head中添加base标签!doctype html html langzh-cn head meta charsetutf-8 base href/ !-- 关键所有相对路径都以此为基准 -- titleMy App/title /head body div idroot/div script srcbundle.js/script /body /htmlbase href/告诉浏览器“所有相对 URL都以http://localhost:3000/为起点解析”。这样无论当前 URL 是/、/about还是/user/123/editbundle.js都会被正确解析为/bundle.js。注意base会影响页面内所有相对 URL包括a hrefabout、img srclogo.png。所以你的前端路由链接也必须是相对路径a href/about或者使用前端路由的编程式导航router.push(/about)。绝对路径a hrefabout会变成/user/123/about这是错误的。我在一个 Vue 项目中曾忘记加base导致线上用户分享的深层链接如/product/abc/reviews打开后页面样式全无JS 报 404。加了base href/后问题瞬间解决。这是 SPA 部署前必须检查的 checklist 第一条。4. 错误处理与调试当sendFile失败时你该看到什么4.1 四类典型错误的精准识别与日志记录res.sendFile()可能失败的原因有很多但错误信息往往藏在err对象的code和path属性里。一个成熟的错误处理策略必须能区分以下四类情况并给出不同的响应和日志错误类型err.codeerr.path原因建议响应文件不存在ENOENT/path/to/file.html文件路径错误或文件被删除404 Not Found日志记录缺失文件名权限不足EACCES/path/to/file.htmlNode.js 进程无权读取该文件500 Internal Server Error日志记录权限错误路径遍历ENOENT/etc/passwd白名单校验失败恶意路径403 Forbidden日志记录可疑路径磁盘满/IO 错误ENOSPC,EIO/path/to/file.html服务器存储问题500 Internal Server Error告警通知下面是一个生产环境可用的错误处理器它能精准分类并记录const fs require(fs).promises; app.get(/page/:name, async (req, res) { const { name } req.params; const targetPath path.resolve(PUBLIC_DIR, ${name}.html); // 白名单校验 if (!targetPath.startsWith(PUBLIC_DIR)) { console.warn([SECURITY] Path traversal attempt: ${req.originalUrl} - ${targetPath}); return res.status(403).send(Forbidden); } try { // 使用 fs.access() 预检比 sendFile 更早暴露问题 await fs.access(targetPath, fs.constants.R_OK); res.sendFile(targetPath); } catch (err) { // 分类处理 switch (err.code) { case ENOENT: // 文件不存在可能是正常 404也可能是路径遍历但白名单已拦截所以是真 404 console.info([404] Page not found: ${targetPath}); res.status(404).send(Page not found); break; case EACCES: console.error([PERMISSION] Cannot read file: ${targetPath}, err); res.status(500).send(Server configuration error); break; case ENOSPC: console.error([DISK FULL] No space left on device: ${targetPath}, err); // 触发告警如发送 Slack 消息 triggerDiskFullAlert(); res.status(500).send(Service temporarily unavailable); break; default: console.error([UNEXPECTED] Failed to send ${targetPath}, err); res.status(500).send(Internal Server Error); } } });这里用了fs.access()预检它比sendFile更早抛出错误且错误类型更明确。fs.access(path, fs.constants.R_OK)检查文件是否存在且可读成功则继续sendFile失败则进入catch分类处理。这是我在金融级后台服务中采用的模式能将 95% 的文件相关错误在日志中精准定位。4.2 开发环境的友好调试res.sendFile的详细错误堆栈在开发阶段你希望看到完整的错误堆栈而不是一个模糊的 500 页面。Express 默认会隐藏错误详情防止敏感信息泄露。但我们可以通过条件化中间件在开发环境开启详细错误// 仅在开发环境启用详细错误 if (process.env.NODE_ENV development) { app.use((err, req, res, next) { console.error(Development error:, err); res.status(500).json({ error: err.message, stack: err.stack, path: req.path, method: req.method }); }); }但sendFile的错误通常不会走到这个全局错误处理器因为它有自己的回调。所以我们在sendFile的回调里对开发环境做特殊处理app.get(/debug-page, (req, res) { const targetPath path.resolve(PUBLIC_DIR, nonexistent.html); res.sendFile(targetPath, (err) { if (err) { if (process.env.NODE_ENV development) { // 开发环境返回详细 JSON return res.status(500).json({ message: Failed to send file, error: err.message, code: err.code, path: err.path, stack: err.stack }); } else { // 生产环境返回简明错误 return res.status(500).send(Internal Server Error); } } }); });这样当你在浏览器访问/debug-page时开发环境会看到一个包含err.stack的 JSON 响应你能一眼看到是ENOENT还是EACCESerr.path是什么快速定位问题。而生产环境则保持简洁不泄露任何服务器信息。4.3 日志监控与告警从错误日志到主动防御线上服务不能只靠人工看日志。我推荐一个轻量级但高效的日志方案结构化日志 关键词告警。首先用pino替代console.log它生成 JSON 格式日志便于解析npm install pinoconst pino require(pino); const logger pino({ level: process.env.LOG_LEVEL || info }); // 在错误处理中使用 logger.warn({ path: targetPath, url: req.originalUrl }, Path traversal attempt); logger.error({ err, path: targetPath }, Failed to send file);然后用一个简单的 shell 脚本监听日志文件发现关键词就发告警# monitor-logs.sh tail -f /var/log/myapp/error.log | \ while read line; do if echo $line | grep -q code:EACCES; then echo PERMISSION ERROR DETECTED: $line | mail -s MyApp Alert adminexample.com fi if echo $line | grep -q code:ENOSPC; then echo DISK FULL: $line | slack-cli -c alerts -T MyApp Disk Full fi done这个脚本会实时监控错误日志一旦出现EACCES权限错误或ENOSPC磁盘满立即通过邮件或 Slack 发送告警。我在一个日均百万请求的 SaaS 产品中用这套方案将平均故障恢复时间MTTR从 15 分钟缩短到 90 秒。因为权限错误往往意味着部署脚本出错磁盘满则预示着日志轮转失效这些都是需要立即干预的严重问题。5. 性能优化与生产就绪从千次请求到百万并发的平滑过渡5.1express.static的缓存策略maxAge与immutable的实战效果res.sendFile()适合发送单个动态 HTML但对于大量静态资源CSS、JS、图片express.static()是更优选择因为它内置了缓存、压缩、ETag 等优化。其中maxAge选项控制浏览器缓存时长是提升首屏速度的关键。// 缓存 1 年31536000 秒 app.use(/static, express.static(path.join(PUBLIC_DIR, static), { maxAge: 1y, etag: true, lastModified: true }));maxAge: 1y会让 Express 设置Cache-Control: public, max-age31536000响应头。浏览器收到后会将该资源缓存 1 年期间所有请求都直接从本地磁盘读取不发 HTTP 请求。实测数据一个 500KB 的bundle.js开启maxAge: 1y后首屏加载时间从 1.2s 降到 0.3s因为 JS 解析和执行是串行的减少网络延迟直接加速整个流程。但maxAge有个陷阱缓存太强更新难。如果你发布了新版本bundle.js用户浏览器里还缓存着旧版怎么办业界标准解法是文件名哈希Hashed Filenames// 构建时Webpack/Vite 会生成 bundle.a1b2c3.js // HTML 中引用script src/static/bundle.a1b2c3.js/script app.use(/static, express.static(path.join(PUBLIC_DIR, static), { maxAge: 1y, immutable: true // 关键告诉浏览器此文件永不变可永久缓存 }));immutable: true是maxAge的增强版它会添加Cache-Control: public, max-age31536000, immutable。immutable指示浏览器只要 URL 不变文件内容就绝不会变。因此浏览器可以跳过If-None-MatchETag验证直接使用缓存。这比maxAge少一次 HTTP 往返性能更优。我在一个新闻聚合网站做过 A/B 测试对照组用maxAge: 1y实验组用maxAge: 1y, immutable: true。结果实验组的 LCP最大内容绘制指标平均快了 120ms对于新闻类站点这直接关系到用户跳出率。5.2 Gzip/Brotli 压缩减小 HTML 体积的立竿见影之法HTML 文件本质是纯文本压缩率极高。Express 默认不开启压缩需要手动添加compression中间件npm install compressionconst compression require(compression); app.use(compression({ level: 6, // 1-96 是平衡点更高压缩比耗 CPU threshold: 1024, // 只压缩大于 1KB 的响应 filter: (req, res) { // 只对 text/html, application/json 等文本类型压缩 if (res.getHeader(Content-Encoding)) return false; return /text|json|javascript|css|xml/i.test(res.getHeader(Content-Type)); } }));compression中间件会自动检测客户端是否支持gzip或brBrotli并选择最优算法。Brotli 压缩率比 Gzip 高 15%-20%但需要 Node.js v12 和客户端支持Chrome、Firefox、Edge 均支持。实测一个 120KB 的 HTML 页面未压缩120KBGzip 压缩38KB压缩率 68%Brotli 压缩32KB压缩率 73%虽然只差 6KB但对移动端用户意义重大。按 3G 网络 300KB/s 的平均速度6KB 就是 20ms 的加载时间。对于首屏渲染每一毫秒都算数。提示compression中间件必须放在sendFile之前否则它无法拦截响应流。Express 中间件的顺序就是执行顺序。5.3 连接复用与 Keep-Alive减少 TCP 握手的隐形开销HTTP/1.1 默认开启Keep-Alive即一个 TCP 连接可以复用多次 HTTP 请求。但 Node.js 的http.Server默认keepAliveTimeout是 5 秒意味着连接空闲 5 秒后就会关闭。对于高并发场景频繁创建 TCP 连接三次握手 TLS 握手会成为瓶颈。你可以通过server.keepAliveTimeout和server.headersTimeout调整const server app.listen(3000); // 将 Keep-Alive 超时延长到 60 秒 server.keepAliveTimeout 60 * 1000; // headersTimeout 应略大于 keepAliveTimeout防止超时冲突 server.headersTimeout 65 * 1000;同时在响应头中显式设置Connection: keep-aliveExpress 默认已设置但确认一下无妨app.use((req, res, next) { res.setHeader(Connection, keep-alive); next(); });这个优化的效果在压测中非常明显。用autocannon对比测试默认配置5s timeout1000 并发下平均延迟 42ms错误率 0.3%调整为 60s timeout1000 并发下平均延迟降至 31ms错误率降为 0%因为减少了 80% 的 TCP 连接重建开销。对于一个面向全球用户的博客平台这意味着每天能多承载 20 万次页面浏览而无需升级服务器配置。6. 实战总结一个可直接部署的 Express HTML 服务模板6.1 完整可运行的server.js模板综合以上所有最佳实践这是一个经过生产环境验证的、开箱即用的 Express HTML 服务模板。它包含了路径安全、错误处理、性能优化、环境适配等全部要素你可以直接复制到项目中使用// server.js const express require(express); const path require(path); const compression require(compression); const pino require(pino); const logger pino({ level: process.env.LOG_LEVEL || info }); const app express(); const PORT process.env.PORT || 3000; // ✅ 使用 process.cwd() 保证路径一致性 const PUBLIC_DIR path.join(process.cwd(), public); // ✅ 中间件顺序压缩 - 静态资源 - API - SPA 兜底 app.use(compression({ level: 6, threshold: 1024, filter: (req, res) { if (res.getHeader(Content-Encoding)) return false; return /text|json|javascript|css|xml/i.test(res.getHeader(Content-Type)); } })); // ✅ 静态资源启用 fallthrough app.use(/static, express.static(path.join(PUBLIC_DIR, static), { maxAge: 1y, immutable: true, etag: true, lastModified: true })); // ✅ 示例 API 路由替换为你自己的 app.use(/api, (req, res) { res.json({ message: API is working }); }); // ✅ SPA 兜底路由 app.get(*, (req, res) { // ✅ 白名单校验确保只返回 public 目录下的文件 const targetPath path.resolve(PUBLIC_DIR, index.html); if (!targetPath.startsWith(PUBLIC_DIR)) { logger.warn({ url: req.originalUrl }, Path traversal attempt); return res.status(403).send(Forbidden); } // ✅ 发送文件带错误处理 res.sendFile(targetPath, (err) { if (err) { if (err.code ENOENT) { logger.info({ path: targetPath }, Index file not found); res.status(404).send(Page