nicht angemeldet
Sicherheit bei File-Upload-Feld
Hello,
dass man seit IE > 3.0 das File-Upload-Feld irgendwann nicht mehr _beschreiben_ konnte, habe ich verstanden und selber gut geheißen.
Aber kann mir vielelicht jemand plausibel erklären, warum man es auch nicht mehr auslesen darf, wenn es ordnungsgemäß durch den Durchsuchen-Dialog gefüllt worden ist?
Ich versuche die ausfühlriche Begründung dafür schon eine ganze Weile z finden, leider ohne Erfolg.
Liebe Grüße aus Syburg bei Dortmund
Tom vom Berg
-
Aber kann mir vielelicht jemand plausibel erklären, warum man es auch nicht mehr auslesen darf, wenn es ordnungsgemäß durch den Durchsuchen-Dialog gefüllt worden ist?
Das Feld kann man doch auslesen. Zumindest im IE 6+ (kleiner habe ich nicht getestet). Man kann nur nicht die URL verwenden, z.B. zur direkten Vorschau von Bildern etc.
Ich verwende das, um dem Benutzer die Möglichkeit zu geben den Dateiname vor dem Upload zu ändern.
-
Hello,
Das Feld kann man doch auslesen. Zumindest im IE 6+ (kleiner habe ich nicht getestet). Man kann nur nicht die URL verwenden, z.B. zur direkten Vorschau von Bildern etc.
Habe mich auch geirrt mit der Frage. Die musste lauten:
Wieso kann man eine Image-Source nicht mehr setzen mit einem Pfad von der lokalen Platte.
Hintergrund ist es, vor dem Upload das Image anzeigen zu lassen.Das ging früher und nun schon eine Weile nicht mehr.
Ich kann die Lücke nicht sehen. Wo ist die verdammte Lücke, deretwegen man das unterbunden hat?Liebe Grüße aus Syburg bei Dortmund
Tom vom Berg
-
Hello,
Wieso kann man eine Image-Source nicht mehr setzen mit einem Pfad von der lokalen Platte.
Hintergrund ist es, vor dem Upload das Image anzeigen zu lassen.Das ging früher und nun schon eine Weile nicht mehr.
Ich kann die Lücke nicht sehen. Wo ist die verdammte Lücke, deretwegen man das unterbunden hat?Das irre ist, der Firefox zeigt den zugewiesenen lokalen Pfad sogar im Eigenschaftenfenster des Bildes an, er wechselt es aber genauso wenig, wie der IE.
Gibt es noch eine Möglichkeit, dynamisch ein Bild von der lokalen Platte anzeigen zu lassen?
Liebe Grüße aus Syburg bei Dortmund
Tom vom Berg
-
Hi there,
Gibt es noch eine Möglichkeit, dynamisch ein Bild von der lokalen Platte anzeigen zu lassen?
Afaik nur, wenn es im selben Verzeichnis wie das Script oder im Pfad darunter liegt...
-
Hello,
Gibt es noch eine Möglichkeit, dynamisch ein Bild von der lokalen Platte anzeigen zu lassen?
Afaik nur, wenn es im selben Verzeichnis wie das Script oder im Pfad darunter liegt...
Ich habe schon alle möglichen Basteleien durch.
Mit "new Image()" und Einhängen in den Objektebaum, usw.Es ging ja früher und mir ist einfach nicht einsichtig, wieso das bei einem <img>-Element nicht möglich sein soll, wo da also die Gefahr liegen soll. Man kann <img>s ja nicht posten. Also müsste es doch sicher genug sein für den Client, zumindest die Übertragung vom File-Upload-Feld in die Src des Imageelementes. Bei wem kann ich mich denn beschweren?
Ich suche jetzt seit Dezember 2007 danach und kann nichts finden, weder eine plausible Begründung noch eine Möglichkeit, es doch zu nutzen. Wenn da man nicht ein paar Heinis übers Ziel hinaus geschossen sind.
Liebe Grüße aus Syburg bei Dortmund
Tom vom Berg
-
Hi,
Es ging ja früher und mir ist einfach nicht einsichtig, wieso das bei einem <img>-Element nicht möglich sein soll, wo da also die Gefahr liegen soll.
Will ich, dass du (Seitenbetreiber) ggf. feststellen kannst, ob es
X:\blah\blubb\geheimer_verzeichnisname\bild.jpg
bei mir auf dem Rechner gibt?Nein, das will ich natuerlich nicht. Das wuerde dir ja nicht nur verraten, dass es diese eine Bilddatei gibt - sondern dir auch Auskunft ueber den Aufbau meines Verzeichnisbaumes darueber geben.
Und wenn ich das Bild nicht selber vorher per Upload-Dialog ausgewaehlt haette (und selbst dann ginge dich mein Dateisystem nichts an) - dann koenntest du ja einfach lustig durchprobieren ...
(Ueber onload/oncomplete/onerror-Events bei Bildern bekaemst du ja Aufschluss darueber, was vorhanden ist und was nicht.)Bei wem kann ich mich denn beschweren?
Bei dem, der den Begriff der Privatsphaere erfunden hat.
MfG ChrisB
--
„This is the author's opinion, not necessarily that of Starbucks.“-
Mittels <canvas> und AJAX dürfte zudem ohne Beschränkung theo. eine automatisierte und vom Nutzer sicher nicht gewollte übertragung der Bildinhalte möglich sein.
-
-
-
-
-
-