根据我对javascript和目录遍历的理解,有人可以重写 javascript(即GreaseMonkey),并且可以更改Ajax Get请求的目标文件。
在我使用 typo3 的测试中,当在ajax中使用“../”时,如果该页面可以由用户使用,则服务器会响应hirachicaly更高的页面。当用户输入有效的路径时,他也会获取该文件的内容。
是否可以隐藏使用的路径,因此现有文件不能强制执行且文件不包含“路径泄露”?
或者混淆是要走的路?
答案 0 :(得分:0)
嗯,如果允许用户登录,则不能避免强制使用文件名。对于未登录的用户,如果用户尚未登录,则可以返回404状态代码。另外,当有浏览器插件允许您发送任何请求时,为什么要使用URL重写。