作者danny0838 (道可道非常道)
看板Browsers
标题Re: [-GC-] 医院X光片读取错误?
时间Mon Oct 3 17:24:00 2022
※ 引述《myloveyj (史待漾)》之铭言:
: 根据说明书
: 光碟机开启的是autorun.exe档案
: 接着跳出网页 却出现以下视窗
: https://imgur.com/ADg74S0
: 接着网页上的操作皆无反应
: 请问这该如何处理?
这个问题和知名的
同源政策 (Same Origin Policy, SOP) 有关,
简单来说同源政策要求一个网站的脚本不能存取其他网站,
否则可能造成严重的资安问题。
如果没有同源政策,那麽当你逛X网站时,
X网站可以放个恶意脚本代替你不断存取其他网站,
比如网路银行、Gmail、云端硬碟等等,
(如果浏览器已登入这些网站,就不须检查密码)
就可以轻易捞个资,用你的名义发垃圾广告或留言,甚至用你的名义做金钱交易,
其後果可想而知。
而本地硬碟以 file: 存取时,就像一个「网站」一样,
如果一个X网站能够用脚本存取你的C槽D槽,那说有多可怕就有多可怕。
所以这些情况都被同源政策明确禁止。
比较特别的情况是本地的 file: 网页应不应该允许存取 file:,
虽然档案都放在本地,但是像下载资料夹里面放的其实常常是第三方的东西,
如果允许,那麽X网站可以提供含有恶意脚本的HTML档骗使用者下载,
当使用者开启这个下载下来的HTML档,里面的脚本就会读取硬碟资料送到网路上。
(虽然脚本不能存取 file: 以外的网站,但可以透过其他方式发送,
比如用脚本建立一个图片,然後在图片的网址参数夹带资料。)
因此同源政策也禁止这种情况,所有 file: 网页各自视为独立来源,不能互相存取。
大部分现代浏览器都已经实做了同源政策的要求,
只有一些很老旧的浏览器(像万恶的 IE)未实做,所以他们比较不安全。
不过像你遇到的情况是一个光碟里的HTML档要读取同一张光碟的其他HTML档,
这种情况在同源政策的限制下就变得比较麻烦,
许多浏览器有提供放宽设定(允许 file: 存取 file:)的方法,例如:
Chrome: 建立浏览器应用程式的捷径,
在执行档路径後加上参数
--allow-file-access-from-files。
Firefox: 於网址列输入 about:config,
搜寻
security.fileuri.strict_origin_policy,将值改为
false。
当然,如前所述,这样做比较不安全,
所以请只用於处理特定可信任的资料,平时不建议以这种状态使用。
--
《终结内容农场》浏览器套件 https://bit.ly/CFTINFO
适用 Chrome 系及 Firefox 系桌面浏览器
适用 Android 手机浏览器 (Kiwi Browser, Firefox for Android 等)
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 59.115.41.9 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Browsers/M.1664789043.A.122.html
1F:推 smallreader: 长知识 10/03 18:17
2F:推 wacoal: 推 10/03 22:56
3F:推 hijacker: 这篇好专业~~ 10/04 00:22
4F:推 DavisX: 推 10/05 14:40
5F:推 PRODIGALEX: 专业推 10/06 09:29
6F:推 sdbb: 感谢解答 10/08 17:14
7F:推 if4: 谢谢分享心得 10/08 19:35
8F:推 fabled: 推 11/25 16:28
9F:推 th: 推 01/15 09:19