Tach!

setzt der nicht voraus, dass der User die Datei auswählt?
Was nicht in Felix' Sinn war, wenn ich das richtig verstehe.

Ja, ohne Nutzeraktion auf Dateien zugreifen ist eben kritisch. Wenn man das möchte, sollte man nicht mit dem Browser arbeiten, der Code sonstwoher holen und ausführen kann, und gegen Missbrauch schützen möchte. Gewünscht ist hier eigentlich eine Desktop-Anwendung, der man pauschal getraut hat, dass sie keinen Unsinn anstellt, und entsprechende Rechte im System gewährt hat.

dedlfix.

Hallo Rolf,

file:// Webseiten als lokale Tools für irgendwas ergeben mittlerweile kaum noch Sinn. Ob sie das je getan haben, bleibe dahingestellt 😉

dir fehlt die nötige Phantasie 😉.

Ich konnte meine Ajax-Anwendung bisher auch ohne Netz, z.B. im Bus testen, jetzt muss ich mir einen xampp installieren, oder wie Felix beschrieben die Browserkonfig ändern.

Auch einige Anwender meines Scripts haben es überwiegend ohne Server genutzt. Ich warte schon auf die „Support“-Anfragen.

Gruß
Jürgen

Hallo Felix,

Du wirst wohl auf den FileReader zurückgreifen müssen.

Nein, der löst mein Problem ebensowenig. Auch da greift CORS.

wie kommst du darauf? Ich kann meine Web-Anwendung vom Web-Server oder von der lokalen Platte starten, beidemale habe ich über eine Fileselect-Box Zugriff auf die lokalen Daten. Denn genau dafür wurde der Filereader doch gemacht.

Gruß
Jürgen

Tach!

TypeError: NetworkError when attempting to fetch resource.

Du hast den Teil "wenn es in einer über File-Open oder Drag-Drop geöffneten Datei steht" nicht beachtet? Von http(s):// auf file:// zuzugreifen wird vom Browser nicht gestattet und mit diese Meldung quittiert.

dedlfix.

Tach!

die Fetch-Spec sagt, dass man bei no-cors eine "opaque filtered response" bekäme.

Selbige Spec sagt aber auch zum file-Scheme:

For now, unfortunate as it is, file URLs are left as an exercise for the reader.

Ob man sich dann noch an die Gegebenheiten von no-cors halten muss, wenn das ganze File-Handling ausgeklammert ist?

Jedenfalls ist der nächste Satz:

When in doubt, return a network error.

Womit wir dann auch geklärt hätten, warum es bei file:// durchaus zu Netzwerkfehlern kommen kann.

dedlfix.

Tach!

die Fetch-Spec sagt, dass man bei no-cors eine "opaque filtered response" bekäme.

Das ist so definiert: An opaque filtered response is a filtered response whose type is "opaque", URL list is the empty list, status is 0, status message is the empty byte sequence, header list is empty, body is null, and trailer is empty.

Mein Firefox gibt jedenfalls als Antwort

Response {
​  body: ReadableStream { locked: false }
  ​bodyUsed: false
  ​headers: Headers {  }
  ​ok: true
  ​redirected: false
  ​status: 200
  ​statusText: "OK"
  ​type: "basic"
  ​url: "file:///D:/test.html"
​}

Nix mit opaque und hastenichgesehen.

dedlfix.

Hallo Ingrid,

führe ich meine Probierseite von localhost aus, bekomme ich den Inhalt meiner Textdatei. Egal ob mode:no-cors oder nicht, egal ob Chrome (75) oder Firefox (69). Läuft unter Windows 10.

Über file:// geht's nicht, mit Unterschieden im Verhalten bei Chrome und FF. Aber vielleicht mache ich ja was falsch?

Chrome:

Führe ich sie via file:// aus, läuft fetch in beiden Fällen ins catch. Im Error-Objekt steht "Failed to fetch", im Stacktrace zusätzlich noch TypeError.

In der Console erscheint noch:

Ohne no-cors:
Fetch API cannot load file:///D:/temp/php/fetch/test.txt. URL scheme must be "http" or "https" for CORS request.

Mit no-cors:
Fetch API cannot load file:///D:/temp/php/fetch/test.txt. URL scheme "file" is not supported.

Firefox:

Führe ich sie via file:// aus, läuft der cors-fetch ins catch. Im Error-Objekt steht "TypeError: NetworkError when attempting to fetch resource.", in der Konsole steht noch Quellübergreifende (Cross-Origin) Anfrage blockiert: Die Gleiche-Quelle-Regel verbietet das Lesen der externen Ressource auf file:///D:/temp/php/fetch/test.txt. (Grund: CORS-Anfrage war nicht http).

Der no-cors Fetch gelingt - gewissermaßen. Er liefert eine response mit body=null und type="opaque".

Testseite (Auszug):

<button id="corsfetcher">Fetch with cors</button>
<button id="nocorsfetcher">Fetch with no-cors</button>
<div id="fetched">
<script>
document.getElementById("corsfetcher").addEventListener("click", fetchCors);
document.getElementById("nocorsfetcher").addEventListener("click", fetchNoCors);
let fetched = document.getElementById("fetched");
   
function fetchCors() {
   handleFetch(fetch("test.txt"));
}

function fetchNoCors() {
   handleFetch(fetch("test.txt", { mode: "no-cors" }));
}

function handleFetch(promise) {
   promise
   .then(
      response => response.text()
   )
   .then(
      text => fetched.textContent = text 
   )
   .catch(
      err => fetched.textContent = err
   )
}
</script>

Rolf

Tach!

ich habe das gerade mal im FF68 unter Windows 10 getestet. Der Fetch läuft durch, .text() liefert aber nur einen String der Länge 0. Mit der Änderung von security.fileuri.strict_origin_policy auf false wird der Dateiinhalt angezeigt.

Eigenartig. Bei mir steht diese Direktive auf Standardwert true. Auch Windows 10 (noch 1803), und mittlerweile auch auf einem zweiten System getestet mit unverändertem Ergebnis. Ich kann nicht ausschließen, mal irgenwelche anderen Einstellungen geändert zu haben. An Sicherheitsdinge kann ich mich aber nicht erinnern (was nichts heißen mag), aber auch für file:// hatte ich bisher keinen Bedarf.

Übrigens, die zweite Zeile wegzulassen und nur ein .then(console.log) auszuführen, zeigt das Response-Objekt an, inklusive Status, also etwas mehr debug-relevante Information.

Aber auch eigenartig ist, dass du nun schon der nächste bist, der das nicht nachvollziehen kann. Da scheint es noch andere Unterschiede zu geben, die das Verhalten beeinflussen.

dedlfix.