如果我从名为“XXX”的文件夹上传文件到网站,该网站是否知道我从“XXX”上传该文件?
本质上,网站会知道文件夹名称吗?
注意:我在 Mac 上使用 Safari。
答案1
浏览器不应该将文件夹部分发送到网站,因为这可能被视为一种攻击形式。
从 RFC 6266 - 超文本传输协议 (HTTP) 中 Content-Disposition 标头字段的使用 :
收件人不得将信息写入他们有权写入的地址以外的任何地址。为了说明这个问题,请考虑能够覆盖众所周知的系统位置(例如“/etc/passwd”)的后果。实现此目的的一种策略是永远不要信任文件名参数中的文件夹名称信息,例如,通过剥离除最后一个路径段之外的所有内容并仅考虑实际文件名(其中“路径段”是由路径分隔符“”和“/”分隔的字段值的组成部分)。
任何在发送的文件名中包含文件夹部分的浏览器都有可能被服务器网站上的安全服务切断。据我所知,没有浏览器会这样做。