复印及;在Firefox中粘贴
在使用所见即所得编辑器时,我遇到了Firefox限制访问剪贴板的问题(尚未测试Webkit)复印及;在Firefox中粘贴,firefox,wysiwyg,clipboard,copy-paste,Firefox,Wysiwyg,Clipboard,Copy Paste,在使用所见即所得编辑器时,我遇到了Firefox限制访问剪贴板的问题(尚未测试Webkit) 有人能解释为什么复制到剪贴板受到限制吗? 我想不出有哪一种方法可以恶意地使用它,而且在缺乏“复制”支持的情况下存在大量的用例。 事实上,像这样的整个库只是为了方便这个功能。 (我理解——但不同意——允许对剪贴板进行读取会造成一个漏洞,尽管弹出窗口可以解决这个问题。) 有没有什么好的方法可以给我一个“粘贴”按钮?我看到一些帖子提到了“textarea技巧”,但没有解释它们是如何工作的 合法用户的生产受到“
我想不出有哪一种方法可以恶意地使用它,而且在缺乏“复制”支持的情况下存在大量的用例。
事实上,像这样的整个库只是为了方便这个功能。
(我理解——但不同意——允许对剪贴板进行读取会造成一个漏洞,尽管弹出窗口可以解决这个问题。)
我知道,如果我在脚本上签名,有一种复杂的“官方”方法可用。。[我没有足够的知识或资源去做],但即使这样,每当我使用它时,也会生成一个弹出窗口。您可能从不支持撤消的应用程序中剪切了一些内容,或者将其粘贴到其他地方。如果允许自动修改剪贴板,您可能会丢失已剪切的数据。同样的原因,站点脚本不能仅更改书签或将更改写入本地文件:这些文件属于用户,允许脚本修改它们也允许恶意脚本写出恶意内容或删除有价值的数据
是的,我们通常认为剪贴板数据是“不太重要的”,因为它是暂时的。但它仍然属于用户,而不是碰巧打开的任何页面。想象一个脚本,为了防止侵犯版权,它每100毫秒一次!或者是复制了危险的系统命令,希望少数用户可以将它们粘贴到终端,而无需先进行双重检查
FWIW,截至,Flash也收紧了对修改剪贴板的限制:这种修改现在必须是用户交互的直接结果。我认为安全问题是从剪贴板读取的站点。一个站点可以有一个脚本,被动地读取每个访问者的剪贴板并保存数据。在用户不知情的情况下,该网站可能会收集电子邮件地址、密码、信用卡号码、社会保险号码等。。但这并不是安全漏洞,Firefox的职责也不是防止。想象一下,如果Word限制“复制”是因为害怕你的剪贴板上有一些有价值的东西!复制是一件应该始终小心进行的事情。但这些用途是真实的,进入交互式页面的一部分意味着用户应该能够选择进行交互。(想象一个提供JS代码片段的网站,每个代码片段后都会显示“单击此处复制到剪贴板”)@samgoody:Word等桌面应用程序与web应用程序有着根本的不同。。。您选择安装Word,您选择启动它,并理解它对您的系统具有完全访问权限。Web应用程序被假定生活在浏览器沙箱中,除了它之外,几乎没有或根本没有访问系统的权限。web应用程序的“沙盒”特性对开发人员来说既是福也是祸:虽然它可能非常有限,但没有必要说服用户足够信任您在他们的机器上安装。。。任何伤害访问网站安全感的事情都会伤害到每个人。@Shog9-“任何伤害访问网站安全感的事情都会伤害到每个人。”说得好。尽管按照这种逻辑,我们应该更加严格。从回复的味道来看,我想我是唯一一个认为这会适得其反的人,所以我最好保持沉默。@Shog9-再想一想:Firefox支持Ctrl+CVX。如果这不影响感知,为什么要有意识地按下“复制”按钮。事实上,当我试图向客户解释我如何提供他们上传文件,但我不能提供他们从Word复制文件时,他们根本不理解——这不会产生信任,会产生混乱。而且,正如我上面所写的,尽管访问剪贴板可能会被滥用,但这并不是不提供它的理由——只是为了评估用例[真实]与风险[远程站点轰炸剪贴板中的重要数据]@samgoody:你如何区分网页中的有意识行为和恶意脚本?如果是宗教行为的话(就像他们不惜一切代价遵守w3c)然后我明白了。否则:没错,浏览器将能够清除剪贴板,同样,他们已经可以刷新cookies或编写JS,使浏览器和/或计算机崩溃。但该系统是围绕这一点构建的——潜在风险与回报。尽管多年来对IE有许多抱怨,但这个“漏洞”从未被利用(快速谷歌,剪贴板已读取但未清除)。您的场景令人难以置信。使用终端的用户没有运行无法识别的代码(&终端不支持粘贴).还有版权理论…你知道,如果你每一条评论写一个回复,你就会有更多的空间来充实它们…我开始认为这个问题是出于一种渴望,你想大声嚷嚷,而不是为了看到答案。同意。因此Flash允许数据写入剪贴板,而不是从剪贴板读取。Flash的安全模型是有意义的。Firefox/Webkit的没有。我的全部问题是为什么不让数据写入剪贴板?