Re: [-GC-] 醫院X光片讀取錯誤?

看板Browsers (瀏覽器)作者danny0838 (道可道非常道)時間2年前 (2022/10/03 17:24)推噓5(5推 0噓 0→)

留言5則, 5人參與討論串2/2 (看更多)

※ 引述《myloveyj (史待漾)》之銘言： : 根據說明書 : 光碟機開啟的是autorun.exe檔案 : 接著跳出網頁卻出現以下視窗 : https://imgur.com/ADg74S0

: 接著網頁上的操作皆無反應 : 請問這該如何處理? 這個問題和知名的同源政策 (Same Origin Policy, SOP) 有關，簡單來說同源政策要求一個網站的腳本不能存取其他網站，否則可能造成嚴重的資安問題。如果沒有同源政策，那麼當你逛X網站時， X網站可以放個惡意腳本代替你不斷存取其他網站，比如網路銀行、Gmail、雲端硬碟等等，（如果瀏覽器已登入這些網站，就不須檢查密碼）就可以輕易撈個資，用你的名義發垃圾廣告或留言，甚至用你的名義做金錢交易，其後果可想而知。而本地硬碟以 file: 存取時，就像一個「網站」一樣，如果一個X網站能夠用腳本存取你的C槽D槽，那說有多可怕就有多可怕。所以這些情況都被同源政策明確禁止。比較特別的情況是本地的 file: 網頁應不應該允許存取 file:，雖然檔案都放在本地，但是像下載資料夾裡面放的其實常常是第三方的東西，如果允許，那麼X網站可以提供含有惡意腳本的HTML檔騙使用者下載，當使用者開啟這個下載下來的HTML檔，裡面的腳本就會讀取硬碟資料送到網路上。（雖然腳本不能存取 file: 以外的網站，但可以透過其他方式發送，比如用腳本建立一個圖片，然後在圖片的網址參數夾帶資料。）因此同源政策也禁止這種情況，所有 file: 網頁各自視為獨立來源，不能互相存取。大部分現代瀏覽器都已經實做了同源政策的要求，只有一些很老舊的瀏覽器（像萬惡的 IE）未實做，所以他們比較不安全。不過像你遇到的情況是一個光碟裡的HTML檔要讀取同一張光碟的其他HTML檔，這種情況在同源政策的限制下就變得比較麻煩，許多瀏覽器有提供放寬設定（允許 file: 存取 file:）的方法，例如： Chrome: 建立瀏覽器應用程式的捷徑，在執行檔路徑後加上參數 --allow-file-access-from-files。 Firefox: 於網址列輸入 about:config，搜尋 security.fileuri.strict_origin_policy，將值改為 false。當然，如前所述，這樣做比較不安全，所以請只用於處理特定可信任的資料，平時不建議以這種狀態使用。 -- 《終結內容農場》瀏覽器套件 https://bit.ly/CFTINFO 適用 Chrome 系及 Firefox 系桌面瀏覽器適用 Android 手機瀏覽器 (Kiwi Browser, Firefox for Android 等) -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.115.41.9 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Browsers/M.1664789043.A.122.html