-
测试页面<!doctype html><head> <meta charset="UTF-8" /></head><body> <a id="downlad...全文
◆
◆
-
aaaa007cn:点击链接的时候 就是一个普通的 GET 请求 当然会带上 cookie 至于是跳下载框还是直接在浏览器中打开那得看服务器的回应和这个 download 的属性 具体去翻 spec 吧(WHATWG 和 w3c 的) 包括默认的文件名如何决定 都在 spec 中写明了 https...(2017-07-03 12:26)
-
白左: 有点明白了, 是不是点击链接下载的时候, 浏览器会后台发送相应cookie? 所以mozilla担心以下场景: 恶意网站A提供了一个链接<a href="hrrp://www.icbc.com.cn/我的帐号密码.cgi" download=&...(2017-07-03 08:18)
-
aaaa007cn:谋智担心的问题是 A 网站本身 *主动* 作为攻击者 比如让用户以为下载的是 A 站的内容 但那其实是来包含有重要私人信息的 B 网站 然后无意识上传回 A 网站(2017-07-02 21:21)
-
aaaa007cn:> mozilla是担心在钓鱼网站,download指向满足CORS的次级站点(不能总是保证安全)的链接? 在提到 Google 反对在这个场景使用 CORS 之后就放弃讨论了 鬼知道他们担心什么 > 676619 的#c7里说google反对,这个有没有前情提要...(2017-07-02 21:13)
-
白左: mozilla是担心在钓鱼网站,download指向满足CORS的次级站点(不能总是保证安全)的链接? 676619 的#c7里说google反对,这个有没有前情提要?google又是考虑的什么反对在download属性应用CORS呢(然而chrome现在明明可以识别跨域do...(2017-07-02 14:02)
-
aaaa007cn:676619 逻辑没问题 只是因为 Google 反对在这个场景使用 CORS 而放弃了进一步讨论(从 #c7 开始看,7 年前) 并最终只做了 same origin 的第一个实现(从 #c46 开始,5 年前) 事实上,#c40(5 年前)确实说了可以考虑 CORS ...(2017-07-02 12:10)
-
白左: 再仔细看了看,mozilla的考虑确实有道理 bug 874009只说让看bug 676619,但bug 676619讨论太长太专业了,能大致讲一讲为什么mozilla认为download属性即使是符合CORS的跨域也是有安全风险的吗? 就像#5说的一样(同时也...(2017-07-02 11:11)
-
aaaa007cn:bug 676619 逻辑上没毛病 不能因为 Google 那么做就说谋智这么做不对 你个人方不方便不影响谋智决策 你还不如投票重启 bug 874009 实现 download 属性的 CORS 支持呢(2017-07-01 20:08)
