2

在使用所见即所得的编辑器时,我遇到了限制访问剪贴板的 Firefox 的墙(尚未测试 Webkit)。

  1. 有人可以解释为什么限制复制到剪贴板吗?

    我只是想不出一种可以恶意使用它的方法,而且缺乏“复制”支持的用例比比皆是。
    事实上,诸如zeroClipboard 之类的整个库只是为了方便此功能。

    (我理解——但不同意——允许对剪贴板进行读取访问会造成漏洞,尽管弹出窗口会解决这个问题。)

  2. 有没有什么好的技巧/方法可以给我一个“粘贴”按钮?我看到帖子中提到了“textarea 技巧”,但没有解释它们是如何工作的。

  3. 是否有一个非常常见的场景,即合法用户的生产受到“安全预防措施”的阻碍,而“坏人”使用黑客 [如 zeroClip] 使安全感觉完全错误?

我知道,如果我签署我的脚本,就会有一个复杂的“官方”方法可用。[我没有知识或资源去做],但即使这样也会在我使用它时生成一个弹出窗口。

4

3 回答 3

3

同样的原因,站点脚本不能仅仅更改您的书签或写出对本地文件的更改:那些属于用户,并且允许脚本修改它们也允许恶意脚本写出恶意内容或删除有价值的数据。

是的,我们通常认为剪贴板数据“不太重要”,因为它是暂时的。但它仍然属于用户,而不是碰巧打开的任何页面。想象一个脚本,出于防止侵犯版权的错误希望,每 100 毫秒清除一次剪贴板!或者复制危险的系统命令,希望少数用户将它们粘贴到终端而不先仔细检查......

FWIW,从版本 10开始,Flash 还加强了对修改剪贴板的限制:现在,此类修改必须是用户交互的直接结果。

于 2009-05-17T18:50:12.273 回答
1

我认为安全问题是从剪贴板读取的站点。一个站点可能有一个脚本,它只是被动地读取每个访问者的剪贴板并保存数据。在用户不知情的情况下,该网站可能会收集电子邮件地址、密码、信用卡号、社会保险号等。

于 2009-07-23T16:51:57.257 回答
0

您可能从不支持撤消的应用程序中剪切了某些内容,或者将某些内容粘贴到其他地方。如果允许自动修改剪贴板,您可能会丢失您剪切的数据。

于 2009-05-17T18:12:23.120 回答