我一直在解决一个开放重定向问题,并在尝试最新修复时,我注意到将重定向协议更新为文件会导致浏览器上出现空白页面。
也就是说,redirect.aspx?url=file://legitimate-site.com结果是一个空白页。其他协议(如madeup://获取错误页面)表明存在一个通用 URL 处理器,显示“这些协议没问题”,并且浏览器或代理正在阻止恶意重定向。
显然,我希望团队将重定向限制为“http”和“https”,但我很好奇是否有任何浏览器可以重定向到本地文件,或者这是一个已经关闭一段时间的安全漏洞. 快速搜索只得到了一些“不起作用”的答案,但没有任何官方答案。
一般来说,不,网站无法将浏览器重定向到file:URL。这是由于浏览器对使用file:URL 施加的特殊限制。
(重定向到本地file:URL 基本上是无害的,但这是一种比抱歉更安全的情况。这几乎是无害的,因为用户在浏览器窗口中看到的是文件的内容,但文件的内容永远不要离开用户的计算机并且不会发送到 Web 服务器,因此不会造成任何伤害。但是,在某些情况下它可能会带来一些风险,因此浏览器会阻止重定向到file:URL,以防万一。有关详细信息,请参阅下面的参考资料。 )
要了解更多信息,请参阅浏览器安全手册。浏览器安全手册应该是您了解与安全相关的浏览器行为信息的标准参考。
果然,它涵盖了您的问题。例如,请参阅其关于URL 方案访问规则和重定向限制的部分,以了解有关file:浏览器允许和不允许哪些类型的 URL 使用的信息。