【发布时间】:2010-10-03 16:34:54
【问题描述】:
使用 JavaScript,很容易让 元素在页面加载后自动获取一个值,只要它的 type 属性不是“文件”;当然,这很有意义,因为自动提交包含敏感数据的表单到服务器只需一行代码。
但是,在家庭服务器(WAMP,如果它有帮助的话)上,这种威胁被完全消除了。那么,在风险实际上为零的情况下,是否有一种方法可以绕过文件输入字段的默认行为?
【问题讨论】:
-
为什么不直接使用上传目录,因为它在您的主服务器上?只需将文件放在那里并以这种方式处理它们。
-
虽然您建议的用于 Firefox 的 iMacros 插件看起来很有希望,但我更喜欢与浏览器无关的解决方案(主要是因为 Opera 非常棒),因此决定按照您建议的方式进行操作这里;像魅力一样工作。只是目录遍历的问题...
标签: javascript security