这实际上是一个安全问题,而不是黑客攻击。昨天我被问到,访问过的页面是否可以访问通过LAN本地可用的文件,但不能从外部访问。
例如,如果我转到第三方页面,该页面是否可以告诉我的浏览器抓取" http://192.168.0.1/foo.html"的内容,然后发布该内容回到外部服务器?
我知道它可以通过简单的ajax请求来完成,因为浏览器会阻止它。但是,您可以包含带有脚本标记的外部文件。 e.g。
<script type="text" src="http://127.0.0.1/test.html"></script>
将成功加载该本地文件(如果您正在运行Web服务器并且当然具有该文件),并将其包含在文档中。然而,就我所见,这似乎无法实现。
这是一个值得关注的问题,还是由浏览器解决的问题?