Esistono dei browser che supportano il reindirizzamento degli URL dei file?

Question

Esistono dei browser che supportano il reindirizzamento degli URL dei file?

#1 da (5 voti)

6

Mi sono occupato di un problema di reindirizzamento aperto e durante la sperimentazione dell'ultima correzione, ho notato che l'aggiornamento del protocollo di reindirizzamento al file ha generato una pagina vuota nel browser.

Cioè, redirect.aspx?url=file://legitimate-site.com risulta in una pagina vuota. Altri protocolli come madeup:// ottengono la pagina di errore indicando che esiste un generico processore di URL che dice "questi protocolli sono a posto" e il browser o il proxy sta bloccando il reindirizzamento dannoso.

Ovviamente, voglio che il team limiti il reindirizzamento solo a "http" e "https", ma sono curioso di sapere se ci sono dei browser che eseguono i reindirizzamenti ai file locali o se questo è un buco di sicurezza che è stato chiuso per un po. Una rapida ricerca ha prodotto solo poche risposte "non funziona" ma niente di ufficiale.

web-browser url-redirection

posta Brian Nickel 15.08.2012 - 01:55

fonte

1 risposta

Leggi altre domande sui tag web-browser url-redirection

javascript: gli URL che iniziano con // consentono XSS? Esca account utente su Windows

score 5 · Accepted Answer

In generale, no, un sito web non può reindirizzare il browser a un file: URL. Ciò è dovuto alle restrizioni speciali imposte dai browser sull'utilizzo di file: URL.

(Il reindirizzamento a un URL file: locale sarebbe in gran parte innocuo, ma si tratta di una situazione migliore-sicura-scusa. È in gran parte innocuo, perché l'utente visualizza il contenuto del file nella finestra del browser, ma i contenuti del file non escono mai dal computer dell'utente e non vengono inviati al server Web, quindi non viene fatto alcun danno, tuttavia ci sono alcuni casi in cui potrebbe comportare dei rischi, quindi i browser bloccano il reindirizzamento a file: URL, solo caso.Vedi i riferimenti sotto per i dettagli.)

Per ulteriori informazioni, consulta il Manuale sulla sicurezza del browser . Il Manuale sulla sicurezza del browser dovrebbe essere il riferimento standard per informazioni sul comportamento del browser relativo alla sicurezza.

E abbastanza sicuro, copre la tua domanda. Vedi, ad esempio, le sezioni su regole di accesso allo schema URL e Restrizioni di restrizione per informazioni su quali tipi di utilizzo di file: URL sono e non sono consentiti dai browser.