Загрузка файла на сервер без формы

[Фанат]

разъясняем.
тыпривёл пример скрипта, который отправляет заголовки.
а потом сказал, что их отправляет браузер.

ошибка, мне кажется, именно здесь. так кто заголовки (с кукми ли, с файлами ли) отправляет - скрипт или браузер?

 

[Юра Руднев]

Скрипт подделывает заголовки, которые должен посылать браузер серверу.

 

[Фанат]

то есть, браузер в этом процессе не участвует?

 

[Юра Руднев]

Участвует конечно.

 

[Фанат]

не понял. а на каком этапе?
ты же сам пишешь:

Скрипт подделывает заголовки, которые должен посылать браузер серверу.

из этого текста следует, что вместо браузера скрипт посылает на сервер заголовки. а что делает в это время браузер?

 

[MiksIr]

AmdY, думаю если и есть, то они фиксяца нещадно, ибо это полноценный секьюрити баг =)

 

[AmdY]

MiksIr, но ведь IE, до сих пор живой.
может в нём и есть подобный backdoor.

 

[Юра Руднев]

Фанат
ничего. браузер вызывает скрипт. имя файла прописывается вручную в заголовке

 

[AmdY]

так в чём проблеммы, тело файла тоже прописывай в ручную.
, а лучше успокойся и обмозгуй всё.

 

[Фанат]

Юра Руднев
так в чём проблемы, тело файла тоже прописывай вручную.
вместо кук просто подставь тело файла в тот скрипт, который ты здесь привел - и дело в шляпе!

 

[Юра Руднев]

тело файла - бинарник - картинка. Я же спросил, может кто знает какие заголовки надо послать серверу?
А успокоюсь только тогда, когда решу проблему . Обмозгую в процессе

 

[Фанат]

может кто знает какие заголовки

те же самые, что и с куками.

надо послать серверу?

Знаешь, Юрик, я одного не могу понять. Зачем у тебя сервер всё время сам себе заголовки посылает?

 

[Юра Руднев]

Фанат
Если те же самые, что и с куками, то тогда где надо прописать имя файла?
Пока сервер у меня ничего не посылает. я скрипт еще не написал.

 

[AmdY]

сервер может таким мокаром разговаривать сам с сабой, но ему никогда не узнать от себя же, то что находится на клиенте, а сообщить это может браузер, а делать ему этого нельзя в целях безопасности.

 

[Фанат]

Юра Руднев
А когда напишешь - будет посылать?

 

[Юра Руднев]

AmdY
Говорят, есть реализация с помощью джаваскрипт...

 

[Фанат]

AmdY
Это бессмысленно. Там буфер очень маленький. Я пытаюсь экспериментальным путём вычислить его величину, и пока примерно получается где-то на полтора простых предложения.

-~{}~ 02.02.07 17:42:

Юра Руднев

Говорят, есть реализация с помощью джаваскрипт...

О, замечательно. пусть будет джаваскрипт.
Джаваскрипт будет отправлять файл на сервер - так?

 

[Юра Руднев]

В общем, ладно. А то флейм получится, если уже не получился.

 

[Фанат]

Да какой флейм - всё культурно.
Скажи, а откуда джаваскрипт знает - договорился ты с клиентом, или нет?

 

[AmdY]

Автор оригинала: Юра Руднев
AmdY
Говорят, есть реализация с помощью джаваскрипт...

я ж писал, что выбрать файл для загрузки, можно только через диалог - это рекомендация w3c, а какие заголовки посылать, браузер сам знает.
если бы можно было через javascript, давно б тебе сказали, но за время, которое ты потратил бы на написание этого скрипта, эту дырку закрыли бы.
хм, мот те помогут хакеры, они-то знают, как обходить такие запреты.