我正要开始在我的web应用程序中实现复制/粘贴功能,但我发现这显然是不允许的。我不太关心如何做到这一点,因为这是一个可选的功能,但我很好奇是什么真正使它成为一个安全问题。如果有人能解释一下,我将非常感激。
如果我可以访问你的剪贴板,我会发现什么?来自keepassx的密码?你最后访问的色情网站是什么?你的SSN吗?
当网站不需要你的操作就把东西复制到你的剪贴板上,从而清除你剪贴板上的其他东西时,这也是相当令人讨厌的。一些网站曾经这样做,试图防止右键复制图像,在这个过程中,他们破坏了剪贴板的一般使用。这与其说是一个安全问题,不如说是剪贴板上的拒绝服务攻击。
如果只有纯文本可以放在剪贴板上,这可能不是一个安全问题,但是现代操作系统可以在剪贴板上放置各种各样的东西,其中一些可以是非常强大的对象。接收应用程序如何在未经查看者同意的情况下与剪贴板上的随机互联网内容进行交互的范围太复杂,无法轻易抵御所有可能的交互。
至于另一种方式,它不是一个随机的网站知道我的剪贴板上有什么。在没有用户同意的情况下,网页显然不能从剪贴板中读取内容。
浏览器从剪贴板中被沙盒化,原因与系统的其他部分相同。我剪贴板上的内容与你无关,你也无权覆盖我剪贴板上的内容:)
就像开发人员无权查看我的文件、执行代码或向我的系统添加文件一样。剪贴板只是终端用户机器的另一部分,web应用程序不属于其中。
如果你确实希望一个web应用程序能够访问剪贴板,或者做许多其他浏览器应用程序无法做的事情,你可以考虑将应用程序移植到Adobe AIR。对于某些需要浏览器无法提供的东西,我已经这样做了,效果很好。它还允许我的用户离线使用应用程序。
也就是说,有一个单独的HTML5剪贴板API规范工作草案正在制作中。http://dev.w3.org/2006/webapi/clipops/我不认为任何浏览器都支持它。即使他们最终这样做,也可能需要用户同意,并且默认情况下是禁用的。