アカウント名:
パスワード:
httpのputだけと違う(けど操作は変らない)とかが気にはなりますがねー。
1.デフォルト値とかスクリプトでの操作はできないけど、運用まで含めて穴はない?2.普通のアップロードのページに悪意あるスクリプトが仕込まれて、XMLHTTPRequestみたいなクロスドメインなデータ転送で漏れたりとかしない?(ページ遷移自体は普通なので、気付かれにくくなるかなとか)3.レンダラとECMAScriptVMが密の場合はいいけど、疎な作りの時にファイルデータのやりとりが穴にならない?(ここは特にただの空想でこう思っただけ) # 打ち決めのパスを弱めのスタック汚染みたいな方法で埋めこんで、File PATHが指定された状態にできたりとかしたら、悪さできちゃうなとか
みたいな、素人的には気になる所が色々。# まー昨今の状況でそれを許すようなAPIにはしないとは思いますけど。
1. 穴があったらFile APIとは無関係に重大なセキュリティホール。2. XMLHTTPRequestはクロスドメインではない。3. 意味不明。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
まあ、大丈夫だとは思うけど (スコア:2, 参考になる)
httpのputだけと違う(けど操作は変らない)とかが気にはなりますがねー。
1.デフォルト値とかスクリプトでの操作はできないけど、運用まで含めて穴はない?
2.普通のアップロードのページに悪意あるスクリプトが仕込まれて、XMLHTTPRequestみたいなクロスドメインなデータ転送で漏れたりとかしない?(ページ遷移自体は普通なので、気付かれにくくなるかなとか)
3.レンダラとECMAScriptVMが密の場合はいいけど、疎な作りの時にファイルデータのやりとりが穴にならない?(ここは特にただの空想でこう思っただけ)
# 打ち決めのパスを弱めのスタック汚染みたいな方法で埋めこんで、File PATHが指定された状態にできたりとかしたら、悪さできちゃうなとか
みたいな、素人的には気になる所が色々。
# まー昨今の状況でそれを許すようなAPIにはしないとは思いますけど。
M-FalconSky (暑いか寒い)
Re:まあ、大丈夫だとは思うけど (スコア:0)
1. 穴があったらFile APIとは無関係に重大なセキュリティホール。
2. XMLHTTPRequestはクロスドメインではない。
3. 意味不明。