ウェブサーバーが、リクエストされた URL を完全に解析してから認可を確認しない場合、攻撃者は認可保護をバイパスできる可能性があります。
例えば、文字列/./と/はどちらもカレントディレクトリを意味する。SomeDirectoryが保護されたディレクトリで、攻撃者が/./SomeDirectoryをリクエストした場合、認証チェックが実行される前に/./が/に変換されなければ、攻撃者はリソースにアクセスできる可能性があります。
If a web server does not fully parse requested URLs before it examines them for authorization, it may be possible for an attacker to bypass authorization protection.
For instance, the character strings /./ and / both mean current directory. If /SomeDirectory is a protected directory and an attacker requests /./SomeDirectory, the attacker may be able to gain access to the resource if /./ is not converted to / before the authorization check is performed.