堆栈内存溢出
  繁体   English   中英

下载的HTML文件是否可以获取本地目录的目录列表?

[英]Is it possible for a downloaded HTML file to get a directory listing of local directories?

 原文  2010-12-17 21:56:17       javascript/ html/ security/ xss

问题描述

我从安全角度问我。 我知道下载的HTML文件可以发送文件,只要它知道(或可以猜测)它们存储的位置。

新的Google Chrome更改(可通过下载Chrome Canary Build进行测试)将取决于操作系统警告用户打开EXE文件等文件,但Windows不会对HTML文件发出警告。 看来,使用Chrome,您无法获得目录的iframe的html。 您只能为单个文件执行此操作。

相关: PC上的文件是否始终具有相同的路径/名称并包含敏感信息?

编辑:我正在删除相关问题。 似乎在当前版本的Firefox上,您只能访问同一目录和IE中的文件,您只能在禁用安全性后访问文件,而只有在访问自身时才能访问Chrome。

3 个解决方案

解决方案1
 4 已采纳  2010-12-17 22:07:27

我知道下载的HTML文件可以发送文件,只要它知道(或可以猜测)它们存储的位置。

Nope:这正是JavaScript无法访问文件内容,也无法填充文件上载字段的原因,无论页面运行的是什么上下文。

HTML页面可以在iframe中打开目录列表,但由于原始策略相同 ,因此无法访问其内容。 除非存在安全漏洞,因此下载并打开本地HTML文件是安全的。

解决方案2
 0  2010-12-17 22:07:20

我会说是的。 下载的文件仍然可以包含指向在线源和内容的链接 - 除非您的意思是该文件将位于非互联网连接的计算机上...

解决方案3
 0  2010-12-23 05:20:36

同源策略表示,如果iframe具有相同的协议,相同的域,则只能访问iframe的内容。 Firefox和Chrome还有其他强化功能。 尽管如此,IE和Opera仍存在一些问题。 我在博客上谈论它,你可能会阅读相应的帖子。 http://p0deje.blogspot.com/2010/09/opera-and-access-to-file-uri.html

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 Firefox插件读取本地XPI,文件和目录列表 是否可以使用我的本地网络/浏览器从给定网页下载 html 文件,就像我使用 javascript 或 nodejs 自己下载一样? HTML脱机应用程序缓存,列出下载的文件 VS 代码显示列表目录而不是提供 html 文件 NodeJs - 获取目录子目录中最后修改的文件 在本地目录中列出文件的VBscript代码替换解决方案 Apache Cordova - 从本地web目录下载文件到Android / iOS目录? ASP.Net MVC4返回带有目录列表的html页面,而不是其内部javascript脚本文件 NodeJ:列出远程文件服务器上存在的文件名和目录 使用html上传要下载的批处理文件
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM