Я считаю, что это функция безопасности. %2F
как вы, возможно, знаете, является URL-кодировкой для косой черты /
символа. Разрешение %2F
по существу разрешает обход каталога, который идет "под радар", то есть он не дает пользователю ясно видеть, что он просматривает каталоги. Объедините это с позволением .
символ, и вы можете сделать что-то неприятное, особенно если вы говорите о локальной файловой системе, где обратный путь в каталогах не строго ограничен, как это часто (но не всегда) осуществляется HTTP-серверами.
Вы помните конкретные версии Firefox, где это работало, и версии, где оно перестало работать? За прошедшие годы в Firefox было несколько исправлений безопасности, связанных с проверкой входных данных, для различных обходных путей. Ваш URI может отключить защитный код. Есть даже некоторые жалобы в некоторых ссылках ниже, что, в зависимости от конкретной версии, попытки исправления либо усугубили проблему, либо вызвали некоторые ложные срабатывания; т. е. код будет блокировать законные URI.
- http://www.securityfocus.com/bid/24191/references
- http://www.securiteam.com/securitynews/5LP011FLPC.html
- http://www.securiteam.com/securitynews/5CP0M0UN5A.html
- http://www.mozilla.org/security/announce/2011/mfsa2011-16.html