resolve 결과를 정규화한 뒤 허용 루트와 Path 기준으로 비교한다.
workspace를 normalize한다.
사용자 조각을 root 아래에 resolve한다.
점과 상위 경로를 계산한다.
candidate startsWith root를 확인한다.
핵심: 기존 파일은 real path와 심볼릭 링크 위협도 별도로 확인한다.