【发布时间】:2014-10-31 10:07:19
【问题描述】:
我想在没有服务器端脚本的情况下访问html页面中的System32文件夹。
还可以使用客户端脚本运行Active X 对象
【问题讨论】:
-
如果你能做到这一点,互联网将是一个危险的地方。
标签: html vbscript activex client-side-scripting system32
【发布时间】:2014-10-31 10:07:19
【问题描述】:
以下是一些需要考虑的事项:
你不应该永远这样做
说真的,永远永远这样做
不,真的,我不是在开玩笑。您的安全模型中的一个小错误,您将成为今年的互联网贱民。不要不要这样做。
如果你要继续做下去,你需要一个 NPAPI 插件。请注意,Chrome 已经宣布他们最终将放弃对 NPAPI 的支持——我们不知道多久,鉴于他们还没有为目前由插件解决的大量问题提供足够的解决方案,我希望它不是在接下来的几个月里,但是一旦他们这样做了,您将需要在 Chrome 上使用 Native Client,在其他客户端上使用 NPAPI。对于 NPAPI 插件,您可以查看 FireBreath,这是一个框架,可让您创建既可用作 NPAPI 又可用作 ActiveX 的插件
任何允许您执行此操作的选项都需要用户下载并安装某些内容。没有办法,也不应该有。
大多数 Web 浏览器在用户模式下运行,即不在管理员模式下。通常,当不在管理员模式下时,您最多只能对 System32 目录进行只读访问。如果您需要任何更好的,您将不得不启动另一个应用程序,该应用程序将从插件请求提升和代理命令。
简而言之:
- 这是个坏主意
- 脖子疼
- 很容易犯错误,从而允许通过您的插件对用户计算机进行恶意攻击。
- 你所说的实际上比我说的要危险得多,但我不知道如何完全解释这将是多么糟糕的想法。
【讨论】:
-
我可以在客户端使用 Vb-script 访问 (system/32 Folders)... 安全吗?
-
在没有启用一堆东西的情况下不是来自普通网页