Web siteleri, o klasörden bir dosya yüklediğimde klasör adını biliyor mu?

"XXX" adındaki bir klasörden bir web sitesine dosya yüklüyorsam, web sitesi bu dosyayı "XXX" adresinden yüklediğimi biliyor mu?

Özünde, web sitesi klasör adını bilecek mi?

Not: Mac'te Safari kullanıyorum.

safari upload

— delick
kaynak

Dosyayı yükleyen tarayıcı tarafından maskelenmiş olduğuna inanıyorum.

— Moab

@ Moo Bu arada Safari kullanıyorum. Bu Safari için doğru mu?

— Ocak'ta

Tüm tarayıcılar için doğru olduğunu düşünüyorum.

— Moab

@ Moab Ah harika, teşekkürler! Bunu nasıl bildin?

— Ocak’a

Çünkü olmasalardı çok büyük bir güvenlik açığı olurdu.

— Moab

Tarayıcı, klasör bölümünü web sitesine göndermemelidir, çünkü bu bir saldırı şekli olarak kabul edilebilir.

RFC 6266'dan itibaren - Köprü Metni Aktarım Protokolü'ndeki (HTTP) İçerik Eğilim Başlığı Alanının Kullanımı :

Alıcılar, özellikle hak kazandıkları yerler dışında hiçbir yere yazılamamalıdır . Sorunu göstermek için, iyi bilinen sistem konumlarının ("/ etc / passwd" gibi) üzerine yazabilmenin sonuçlarını göz önünde bulundurun. Bunu başarmanın bir stratejisi, dosya adı parametresindeki klasör adı bilgisine asla güvenmemek, örneğin son yol bölümü hariç hepsini çıkartarak ve yalnızca gerçek dosya adını göz önüne alarak ('yol bölümleri', yol tarafından sınırlanan alan değerinin bileşenleridir). ayırıcı karakterler "\" ve "/").

Gönderilen dosya adındaki klasör kısmını içeren herhangi bir tarayıcı, sunucu web sitesindeki güvenlik hizmetleri tarafından kesilme riski taşır. Bildiğim kadarıyla, hiçbir tarayıcı yapmaz.

— harrymc
kaynak