Perché i browser implementano criteri più rigidi per i file locali

3

Ho un problema con la visualizzazione di file HTML / JS / CSS generati su disco. Nello specifico, diverse chiamate in javascript sono bloccate da Google Chrome. Ho cercato su Google e ho trovato una risposta qui: link . Alla fine, devo fare un ulteriore sforzo per installare ed eseguire un websever sulla mia macchina in modo da poter visualizzare correttamente il sito web ospitato sul mio filesystem.

Tuttavia, non capisco il ragionamento. Perché il browser implementa criteri più rigidi per i file locali? I file già presenti nel mio disco sono più affidabili di quelli caricati da siti remoti?

    
posta Siyuan Ren 24.10.2014 - 13:53
fonte

3 risposte

4

Aren't files already on my disk more trustworthy than those loaded from remote sites?

No.

Il caso di utilizzo HTML locale previsto per gli utenti normali (cioè non sviluppatori) è che sono andati a una pagina Web, volevano visualizzarlo offline e hanno utilizzato la funzionalità Salva con nome del browser per creare una copia locale. Ciò non implica alcun livello di fiducia tra l'utente e l'operatore del sito che ospita quella pagina e non dovrebbe, in generale, dare a quell'operatore l'accesso per leggere altri file dal disco rigido dell'utente.

Nei giorni precedenti, IE concedeva maggiori autorizzazioni all'HTML sul filesystem locale. Il risultato è stato un sacco di buchi nella sicurezza, nel senso che qualsiasi applicazione che potrebbe essere persuasa a salvare un file contenente HTML in un percorso prevedibile potrebbe essere tipicamente sfruttata per eseguire il codice dell'attaccante.

    
risposta data 24.10.2014 - 15:36
fonte
0

In Firefox è possibile modificare manualmente il file prefs.js aggiungendo:

user_pref("capability.policy.policynames", "localfilelinks");
user_pref("capability.policy.localfilelinks.sites", "http://localhost:8080");
user_pref("capability.policy.localfilelinks.checkloaduri.enabled", "allAccess");

Si noti la necessità di specificare esplicitamente la porta se diversa da 80.

    
risposta data 31.10.2014 - 17:45
fonte
0

Se alcune informazioni sono disponibili sul Web a chiunque, senza particolari credenziali richieste, in genere non è necessario che un browser si preoccupi di salvaguardare tali informazioni. Chiunque vorrebbe l'informazione potrebbe probabilmente ottenerlo più facilmente semplicemente richiedendo per esso , piuttosto che tentando di sfruttare una debolezza della sicurezza nel browser di qualcuno.

La ragione per cui i browser sono molto più cauti con i file locali rispetto ai file ricevuti dal web non è che i primi siano più probabili essere malevoli, ma piuttosto che i primi debbano essere protetti da divulgazioni non autorizzate mentre i secondi no.

    
risposta data 15.08.2017 - 22:39
fonte

Leggi altre domande sui tag