Javascript 是什么使得访问系统';这是安全漏洞吗?
我正要开始在我的web应用程序中实现复制/粘贴功能,但我发现这显然是不允许的。我不太关心如何做,因为这是一个可选功能,但我很好奇到底是什么让它成为一个安全问题。如果有人能解释一下,我会非常感激。如果我能访问你的剪贴板,我能找到什么?来自keepassx的密码?你上次访问的色情网站?你的SSN?当站点习惯于在没有你的操作的情况下将内容复制到你的剪贴板上,从而清除你剪贴板上的其他内容时,这也是非常令人讨厌的。一些网站过去这样做是为了防止右击复制图像,在这个过程中,他们破坏了剪贴板的普遍使用。这与其说是安全问题,不如说是剪贴板上的拒绝服务攻击 如果只有纯文本可以放在剪贴板上,这可能不是一个安全问题,但是现代操作系统可以把各种各样的东西放在剪贴板上,其中一些可以是非常强大的对象。接收应用程序如何在未经查看者同意的情况下与剪贴板上的随机互联网内容进行交互的范围过于复杂,无法轻松抵御所有可能的交互Javascript 是什么使得访问系统';这是安全漏洞吗?,javascript,security,browser,Javascript,Security,Browser,我正要开始在我的web应用程序中实现复制/粘贴功能,但我发现这显然是不允许的。我不太关心如何做,因为这是一个可选功能,但我很好奇到底是什么让它成为一个安全问题。如果有人能解释一下,我会非常感激。如果我能访问你的剪贴板,我能找到什么?来自keepassx的密码?你上次访问的色情网站?你的SSN?当站点习惯于在没有你的操作的情况下将内容复制到你的剪贴板上,从而清除你剪贴板上的其他内容时,这也是非常令人讨厌的。一些网站过去这样做是为了防止右击复制图像,在这个过程中,他们破坏了剪贴板的普遍使用。这与其说
另一方面,一个随机的网站不需要知道我的剪贴板上有什么。未经用户同意,网页显然不能从剪贴板中读取内容。浏览器被沙盒从剪贴板中移出,原因与系统其他部分的原因相同。我剪贴板中的内容与您无关,您也无权覆盖我剪贴板中的内容:) 就像开发人员不需要查看我的文件、执行代码或向系统中添加文件一样。剪贴板只是最终用户机器的另一部分,web应用程序不属于该机器 如果您确实希望web应用程序能够访问剪贴板,或者执行浏览器应用程序无法执行的许多其他操作,您可以考虑将该应用程序移植到AdobeAIR。我这样做是为了一些需要比浏览器提供的更多的东西,而且效果很好。它还允许我的用户脱机使用该应用程序
这就是说,有一个单独的剪贴板API规范工作草案的HTML5在工程中。我不怀疑有任何浏览器支持它。即使他们最终做到了,它也可能需要用户的同意,并在默认情况下被禁用 提示:对我来说,这三个中的两个是相同的!猜一猜。+1-我想补充一点,一个网页永远不能读取剪贴板的内容,即使是在用户同意的情况下,为了保护用户不受自己的伤害。让用户自己粘贴他们想要的内容到网站上——你永远不会希望从远程系统直接访问你的机器。当我说“征得用户同意”时,我的意思是,如果用户愿意,web应用程序能够支持安全复制/粘贴是有价值的。你应该在谷歌应用程序中看到谷歌是如何做到这一点的。他们在服务器上有一个虚拟剪贴板。当您将某个内容复制到“剪贴板”(不是系统剪贴板,而是他们自己的发明)时,他们会将其发送到服务器,以便将来任何网页都可以检索它。这当然不是很有效,不能离线工作,也不能用于非谷歌应用。