下载的HTML文件是否可以获取本地目录的目录列表?

时间:2010-12-17 21:56:17

标签: javascript html security xss

我从安全角度提问。我知道下载的HTML文件可以发送文件,只要它知道(或可以猜测)它们存储的位置。

新的Google Chrome更改(可通过下载Chrome Canary Build进行测试)将取决于操作系统警告用户打开EXE文件等文件,但Windows不会对HTML文件发出警告。看来,使用Chrome,您无法获得目录的iframe的html。您只能为单个文件执行此操作。

相关:Are there files on a PC that are always same path/name and contain sensitive information?

编辑:我正在删除相关问题。似乎在Firefox的当前版本上,您只能访问同一目录和IE中的文件,您只能在禁用安全性后访问文件,而只有在访问自身时才能访问Chrome。

3 个答案:

答案 0 :(得分:4)

  

我知道下载的HTML文件可以发送文件,只要它知道(或可以猜测)它们存储的位置。

Nope:这就是为什么JavaScript无法访问文件内容,也无法填充文件上载字段,无论页面运行的是什么上下文。

HTML页面可以在iframe中打开目录列表,但由于same origin policy,它无法访问其内容。除非存在安全漏洞,因此下载并打开本地HTML文件是安全的。

答案 1 :(得分:0)

我会说是的。下载的文件仍然可以包含指向在线源和内容的链接 - 除非您的意思是该文件位于非互联网连接的计算机上...

答案 2 :(得分:0)

同源策略表示,如果iframe具有相同的协议,相同的域,则只能访问iframe的内容。 Firefox和Chrome还有其他强化功能。尽管如此,IE和Opera仍存在一些问题。我在博客上谈论它,你可能会阅读相应的帖子。 http://p0deje.blogspot.com/2010/09/opera-and-access-to-file-uri.html