Quindi fondamentalmente l'href del tag anchor è qualcosa come hxxtp: //www.xxxx/xx.zip e il testo del tag di ancoraggio visibile all'utente è qualcosa come xxxx.pdf, quando l'utente fa clic su Mozilla lo apre come a. pdf ma in realtà è un .zip.
Il mio dubbio: perché firefox lo apre come pdf quando l'url dice che è un .zip, firefox legge l'intestazione del file e decide se è un pdf o un .zip, non è ingannare un utente a fare clic un .zip, anche se pensa che sia un pdf?
Ci sono tre cose separate in gioco qui:
<a> visibile all'utente (che può essere qualsiasi cosa e non deve essere un link valido) href del tag <a> I browser non utilizzano le estensioni dei file per determinare il tipo di contenuto offerto. Invece, ispezionano l'intestazione Content-Type nella risposta HTTP inviata dal server.
È completamente possibile (anche se sorprendente) che un server HTTP sia configurato in modo tale che a .zip verrà offerto un tipo PDF ( application/pdf ), nel qual caso il browser proverà ad aprirlo come file PDF (se riesce a farlo dipende dal fatto che i contenuti del file formino un PDF valido e valido). Allo stesso modo, è completamente possibile per un server pubblicare un file .pdf come file ZIP ( application/zip ), nel qual caso il browser proverà ad aprirlo come file ZIP. L'estensione del file è irrilevante; è il Content-Type che il server segnala che conta.
Leggi altre domande sui tag reverse-engineering web-browser spam