Если я загружаю файл на веб-сайт из папки "XXX", знает ли веб-сайт, что я загружаю этот файл из "XXX"?
По сути, будет ли сайт знать имя папки?
Примечание: я использую Safari на Mac.
1 ответ
1
Браузер не должен отправлять часть папки на веб-сайт, так как это может рассматриваться как форма атаки.
Получатели НЕ ДОЛЖНЫ иметь возможность писать в любое место, кроме того, на которое они имеют особые права. Чтобы проиллюстрировать проблему, рассмотрим последствия возможности перезаписи общеизвестных системных расположений (таких как «/etc/passwd»). Одна из стратегий для достижения этой цели - никогда не доверять информации об имени папки в параметре имени файла, например, удаляя все, кроме последнего сегмента пути, и рассматривая только фактическое имя файла (где "сегменты пути" являются компонентами значения поля, разделенного путем разделитель символов "\" и "/").
Любой браузер, включающий часть папки в отправляемом имени файла, рискует быть отключенным службами безопасности на веб-сайте сервера. Насколько я знаю, ни один браузер не делает это.