diff --git a/backend/server.js b/backend/server.js
index c378ebf..7c75fa4 100644
--- a/backend/server.js
+++ b/backend/server.js
@@ -162,19 +162,19 @@ app.use((req, res, next) => {
 });
 
 // XSS过滤中间件（用于用户输入）- 增强版
+// 注意：不转义 / 因为它是文件路径的合法字符
 function sanitizeInput(str) {
   if (typeof str !== 'string') return str;
 
-  // 1. 基础HTML实体转义
+  // 1. 基础HTML实体转义（不包括 / 因为是路径分隔符）
   let sanitized = str
-    .replace(/[&<>"'\/`]/g, (char) => {
+    .replace(/[&<>"'`]/g, (char) => {
       const map = {
         '&': '&amp;',
         '<': '&lt;',
         '>': '&gt;',
         '"': '&quot;',
         "'": '&#x27;',
-        '/': '&#x2F;',
         '`': '&#x60;'
       };
       return map[char];