作者danny0838 (道可道非常道)
看板Browsers
標題Re: [-GC-] 醫院X光片讀取錯誤?
時間Mon Oct 3 17:24:00 2022
※ 引述《myloveyj (史待漾)》之銘言:
: 根據說明書
: 光碟機開啟的是autorun.exe檔案
: 接著跳出網頁 卻出現以下視窗
: https://imgur.com/ADg74S0
: 接著網頁上的操作皆無反應
: 請問這該如何處理?
這個問題和知名的
同源政策 (Same Origin Policy, SOP) 有關,
簡單來說同源政策要求一個網站的腳本不能存取其他網站,
否則可能造成嚴重的資安問題。
如果沒有同源政策,那麼當你逛X網站時,
X網站可以放個惡意腳本代替你不斷存取其他網站,
比如網路銀行、Gmail、雲端硬碟等等,
(如果瀏覽器已登入這些網站,就不須檢查密碼)
就可以輕易撈個資,用你的名義發垃圾廣告或留言,甚至用你的名義做金錢交易,
其後果可想而知。
而本地硬碟以 file: 存取時,就像一個「網站」一樣,
如果一個X網站能夠用腳本存取你的C槽D槽,那說有多可怕就有多可怕。
所以這些情況都被同源政策明確禁止。
比較特別的情況是本地的 file: 網頁應不應該允許存取 file:,
雖然檔案都放在本地,但是像下載資料夾裡面放的其實常常是第三方的東西,
如果允許,那麼X網站可以提供含有惡意腳本的HTML檔騙使用者下載,
當使用者開啟這個下載下來的HTML檔,裡面的腳本就會讀取硬碟資料送到網路上。
(雖然腳本不能存取 file: 以外的網站,但可以透過其他方式發送,
比如用腳本建立一個圖片,然後在圖片的網址參數夾帶資料。)
因此同源政策也禁止這種情況,所有 file: 網頁各自視為獨立來源,不能互相存取。
大部分現代瀏覽器都已經實做了同源政策的要求,
只有一些很老舊的瀏覽器(像萬惡的 IE)未實做,所以他們比較不安全。
不過像你遇到的情況是一個光碟裡的HTML檔要讀取同一張光碟的其他HTML檔,
這種情況在同源政策的限制下就變得比較麻煩,
許多瀏覽器有提供放寬設定(允許 file: 存取 file:)的方法,例如:
Chrome: 建立瀏覽器應用程式的捷徑,
在執行檔路徑後加上參數
--allow-file-access-from-files。
Firefox: 於網址列輸入 about:config,
搜尋
security.fileuri.strict_origin_policy,將值改為
false。
當然,如前所述,這樣做比較不安全,
所以請只用於處理特定可信任的資料,平時不建議以這種狀態使用。
--
《終結內容農場》瀏覽器套件 https://bit.ly/CFTINFO
適用 Chrome 系及 Firefox 系桌面瀏覽器
適用 Android 手機瀏覽器 (Kiwi Browser, Firefox for Android 等)
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.115.41.9 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Browsers/M.1664789043.A.122.html
推 smallreader: 長知識 10/03 18:17
推 wacoal: 推 10/03 22:56
推 hijacker: 這篇好專業~~ 10/04 00:22
推 DavisX: 推 10/05 14:40
推 PRODIGALEX: 專業推 10/06 09:29
推 sdbb: 感謝解答 10/08 17:14
推 if4: 謝謝分享心得 10/08 19:35
推 fabled: 推 11/25 16:28
推 th: 推 01/15 09:19