HTML和Javascript：使用输入文件获取完整的目录路径名

Question

从我的研究中，我知道我不能使用HTML输入文件来获取目录路径名。但是，我尝试了一种替代方法，将输入文件的值存储到隐藏字段中，并将存储的值传递给我的后端代码以供进一步处理。 Javascript代码：

<script type="text/javascript"> 
function folder_address() 
{ 
    var address=document.getElementById('folder_address'); 
    var folder=document.getElementById('folder'); 
    folder.value=address.value; 
} 
</script> 

HTML代码：

<input type="file" id="folder_address" name="folder_address" /> 
<input type="hidden" id="folder" name="folder" /> 

但是，我仍然得到folder.value为我所选择的文件，而不是文件的完整目录路径名。我错过了什么吗？

Answer 1

此行为并不意味着规避。即使你可以找到使用脚本/附加字段的漏洞，这个漏洞也可能在未来被删除。

我强烈建议不依赖于知道用户选择的本地路径的设计。

这将是一个安全漏洞，揭示用户的目录结构到服务器（想想在Windows c:\users\tmedora;现在你知道我的用户名）。另外，文件系统可以对路径进行不同的格式化，用户可以根据自己的意愿自由地命名/重命名目录。我不确定完整路径对服务器有什么价值。除非你处在一个极其受控制的环境中，否则你不能保证你甚至能够解析路径，更不用说指望它包含一致的信息。

包含完整路径的W3 specifically states是一个安全漏洞，并要求用户代理将字符串c:\fakepath\预先加入文件路径。

一些旧版用户代理实际上包含完整路径（这是一个 安全漏洞）。

另见IE Gives full path, FF gives only filename (or directory browse)和 How to get the full path of the file from a file input等等。