1

Если я загружаю файл на веб-сайт из папки "XXX", знает ли веб-сайт, что я загружаю этот файл из "XXX"?

По сути, будет ли сайт знать имя папки?

Примечание: я использую Safari на Mac.

1 ответ1

1

Браузер не должен отправлять часть папки на веб-сайт, так как это может рассматриваться как форма атаки.

Из RFC 6266 - Использование поля заголовка расположения содержимого в протоколе передачи гипертекста (HTTP) :

Получатели НЕ ДОЛЖНЫ иметь возможность писать в любое место, кроме того, на которое они имеют особые права. Чтобы проиллюстрировать проблему, рассмотрим последствия возможности перезаписи общеизвестных системных расположений (таких как «/etc/passwd»). Одна из стратегий для достижения этой цели - никогда не доверять информации об имени папки в параметре имени файла, например, удаляя все, кроме последнего сегмента пути, и рассматривая только фактическое имя файла (где "сегменты пути" являются компонентами значения поля, разделенного путем разделитель символов "\" и "/").

Любой браузер, включающий часть папки в отправляемом имени файла, рискует быть отключенным службами безопасности на веб-сайте сервера. Насколько я знаю, ни один браузер не делает это.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .