是否可以让JavaScript检索位于Web根目录之上的文件?
function sendurl(url) {
if(document.images){
(new Image()).src="../recieve_url.php?url="+url;
}
return true;
}
答案 0 :(得分:5)
JavaScript能够检索Web服务器能够提供的任何内容。根据定义,Web服务器通常不会在主document root后面提供任何服务。
答案 1 :(得分:4)
这样的directory traversal attack是否可行与JavaScript完全无关(除非你在服务器端运行它)。 JavaScript发起的HTTP请求与您点击链接发起的HTTP请求没有什么不同。
所做的所依赖的是网络服务器和在那里运行的服务器端代码 - 通常需要能够访问Web根目录之外的文件,如果不小心编程,通常可以欺骗进行目录遍历并返回结果。