Файл загрузки вводит элемент HTML, выдают какие-либо персональные данные?
Я задаюсь вопросом, какие персональные данные файл вводил (<input type="file">) элемент дает веб-сайт.
Я заметил, что это действительно показывает имя файла, и веб-сайт, действительно кажется, имеет доступ к нему. Что относительно пути файла? Если файл расположен в Моих Документах, они могли бы узнать имя пользователя через путь (например. C:\Documents and Settings\Bob\My Documents) который много раз является именем фактического пользователя, которое использует веб-сайт.
Какую информацию большинство современных браузеров позволяет веб-сайту доступу, когда пользователь использует входной элемент файла?
JavaScript мог так или иначе использоваться для получения большей информации?
Что относительно того, когда плагины (такие как Flash или Java) реализуют загрузку файла?
3 ответа
Существует большая информация в запросе, который отправляет Ваш веб-браузер, но входной элемент файла только вносит имя файла и содержание файла. При представлении файла через входной элемент файла соответствующая часть запроса веб-браузера выглядит примерно так
Content-Disposition: form-data; name="f"; filename="file.txt" Content-Type: application/octet-stream
сопровождаемый фактическим содержанием файла. (Отметьте: Каждый объект формы имеет имя, которое было указано в форме и значении что пользователь, вводимый или выбранный. В запросе выше, входной элемент файла имел имя f в форме.)
Вы корректны, что путь имени файла мог бы сказать сервер немного о Вас или Вашем компьютере, как Ваше имя пользователя или имена папок на Вашем компьютере. Я протестировал веб-браузеры на своем компьютере и заметил следующее:
- Internet Explorer 7 отправляет полный диск, путь и имя файла файла. Например, "C:\folder\file.txt".
- Chrome 4.0, Opera 10.01 и Firefox 3.0 просто отправляют имя файла. Например, "file.txt".
(Между прочим, я использовал прокси-сервер Proxomitron на своем собственном компьютере для просмотра запросов, которые отправляли мои браузеры.)
Можно использовать WireShark для просмотра пакета, когда он переходит к серверу, и посмотрите всю замечательную информацию, которую он отправляет.
Это покажет Вам
- Кадр
- Заголовок IP
- Заголовок TCP
- HTTP-заголовок (Все cookie, настройки, и т.д. это стандартно в ЛЮБОМ запросе к браузеру),
- FormData (Закодированный в формате имени/значения)
Key=Value&Key2=Value2&Key3=Value3 - Фактический файл в крупном блоке прямо под этим
Никакой главный браузер не собирается отправить что-либо за Вашей спиной, и они все сильно ограничивают то, к чему JavaScript может получить доступ. Все ставки выключены, когда Flash и Java вводят в изображение.