为什么网站可以读取拖放文件的完整路径?

时间:2014-02-15 17:05:19

标签: html5 file-upload drag-and-drop

上传文件有两种选择。您可以使用input type="file",也可以使用拖放功能。

最近,我偶然发现了拖拉带的事实。 drop,整个路径都被传输到服务器。

示例:

Example

(谷歌浏览器32)

如果输入元素可以实现,那将是一个漏洞利用。当我们使用drag& amp;降?

1 个答案:

答案 0 :(得分:1)

您的浏览器,或者Facebook使用的Flash或Java插件,正在传输完整路径。它在任何意义上都不是“漏洞利用”,但似乎确实是信息泄露。