我知道在浏览器中使用来自 javascript 的 Scripting.Filesystemobject 是一个巨大的安全漏洞。我听说微软正在锁定最新版本的 Office 中的这个漏洞。这对于我正在开发的企业 Web 应用程序来说是个坏消息,它有一些关键功能取决于对 Scripting.Filesystem 对象的访问,例如写出 xml 文件或移动音频文件。
我已经尝试但未能找到任何关于此的“硬”文档,虽然我的本地开发盒表现出这种行为,但这里的其他机器(除了 IE 没有任何最新版本)没有表现出这种行为。如果有人可以向我指出确认这一点的文档 - 或者不涉及创建 activeX 控件的解决方法 - 我将非常感激。
谢谢!
这篇文章kb240797讨论了 IE 杀戮位。在注册表中,您将找到此键:-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX 兼容性
您将在其中找到一组 CLSID(FileSystemObject 的 CLSID 为:{0D43FE01-F093-11CF-8940-00A0C9054228})。如果“Compatibility Flags”值的位 1024 (0x400) 在(kill 位)上,则 activex 组件被阻止。
我还听说 MS 已经或正计划杀死 FileSystemObject,但我还没有正式看到这一点,而且在我当前的系统上也不是这样。然而,他们可能会在内部阻止它,以至于即使摆弄杀戮位也无济于事。
我不知道这是否有帮助,但我没有听到任何关于FileSystemObject被弃用的消息。我很想看看你的消息来源。另一件需要注意的是,最后一个因存在安全风险而被弃用的“主要”ActiveX 控件是 CAPICOM,但这是在 Vista 的发布中宣布的,最终在 Windows 7 中被删除。文档也进行了更改以反映这种弃用和提前提出替代方案。
许多(很多!)shell 脚本依赖于FileSystemObject文件操作,所以我很难相信如果没有提供替代方案,它会被弃用。如果它有所作为,FileSystemObject仍然可以从在 IE 引擎上运行的 Windows 桌面小工具访问。
出于合法或非法的原因,您不会,也不应该通过浏览器访问用户文件系统。
访问本地存储的最佳案例示例是通过 Google Gears 之类的系统完成的,即使是这些系统也经常遭到网络/瘦客户端纯粹主义者的反对。