Сообщение от B@rmaley.e><e
|
Гипотетическая ситуация: вам прислали .html файл, вы его запустили с локального диска и он послал злоумышленникам содержимое какого-нибудь важного файла.
|
в данном случае так не получится. Дело в том, что объект FileReader работает исключительно со стандартными input (тип: file) элементами формы.
Что это означает? - это означает, что для того, чтобы злоумышленникам что-то отправилось, я должен сначала нажать на кнопку "просмотреть файлы", затем через диалог выбрать тот самый "какой-то важный файл"... только начиная с этого момента возможна автоматизация.
Так что, на самом деле, проблем с секьюрностью нет.