fakepath について


2025/03/28
この時期になると定期的にこの記事へのアクセスがあります。
エスパーすると… 新社会人さん!学生さん!がんばれっ!


今日、IE8でテストしていると、ファイルのアップロード時に
「c:\fakepath\aaa.txt」 とフォルダ名が「fakepath」となり、「変だっ!」と指摘された。


そこで調べてみたら、IE8では標準として、<input type="file" />タグは、
ディレクトリが正しく表示されないことがわかった。

で、JavaScriptの ".value" で値を取得した時に「fakepath」のディレクトリ名称が
取得できてしまうらしい。
ネットで調べると皆さん「セキュリティーの設定を直す」や「信頼済みサイトに設定してくれ」と 注意、変更依頼を行っています。


そこで問題です。
なぜ、ファイルパスを JavaScriptの".value"で取得する必要があるのでしょうか?

1.<input type="file" />タグは読み取り専用です。
2.参照ボタンも勝手に付いていて、ブラウザがパスを自動生成します。

という事は「ファイルの存在チェック」や「拡張子チェック」はサーバー側でしか出来ない筈なんですよね。
クライアント側のファイルパスなんてサーバ側では意味ないし…
もちろん、VBSなんかを使って無理やりやることは出来ますが…
そういう無理やりな要求を出すんだから、「IE8対応」で金を出させるべき(営業ががんばれ)でしょう。


ま、例外はさておき、普通に作っていたら意識しなくて良かったんですよね。
(表示上の問題はさておき…)


ちょっと思ったのでメモ程度で…


2022/07/12
定期的にこの記事へのアクセスがあります。
記事から6年経ってますが何でしょう…

エスパーすると、上司や顧客から「アップロード前に選択したファイルが正しいか確認したいからパスを出せ!」とか言われてるんじゃないでしょうか。
クライアントPCのフォルダパスを見せるまたは、JavaScript/サーバ側で使える事がセキュリティ上危険だと分かって欲しい物ですね…


2016/08/31
内容は理解して無いが、chrome でも同じです。
.value で何が取れるかは検証してませんが…
セキュリティを考えると、当たり前なんだけどねぇ…

コメント

コメントを投稿

このブログの人気の投稿

ヨドバシカメラの店舗購入履歴を見るには…

イメージ
・2025年04月08日 現在の情報です。今後使えなくなる可能性があります。 ・本記事に関する内容は分かる方のみ行ってください。ヨドバシさんの店舗店員、ヨドバシ・ドット・コムさんに質問等しないでください。 ・ヨドバシ関連様とは全く関係ありません。ご迷惑をかけない様よろしくお願いします。 ヨドバシ・ドット・コム で ヨドバシカメラ店舗で購入した履歴を見る方法です。 2種類の検索方法を記載しています。おすすめは上部の方(再注文:2025年04月08日掲載)です。 共通の注意点: 1.ヨドバシ・ドット・コムのユーザが作成されている。(利用している?) 2.ヨドバシゴールドポイントカードは同じものを共通で登録・購入時提出してないと駄目だと思う。 3.ヨドバシ・ドット・コムと連携する前のデータは連携されないと思う。 4.Webと店舗のどちらで買ったか区別付きません。(思い出してください) 5.表示される値段は現在の値段です。(購入時の値段はわかりません。)   ヨドバシさんのSwitch2抽選の話が出たからかアクセスが急増していますが、【購入時の金額は分かりません】 (なんでこんなに画像が見にくいのだろうか…) 2025年04月08日掲載の検索方法 【カテゴリ検索】 「ま」様よりコメントを頂きましたので反映します。 こちらの方法は下記3パターンの場合、とても優良ですのでお試しください。 1.商品の「カテゴリ」が分かっている場合 2.過去5年間に購入した商品を検索する場合(2025年の場合、2025年~2021年の5年間) 3.少しでも早く全データを確認したい場合?(ページングがあるのでこちらが速いと思うが検証してないです) 全ては「ま」様のコメントに記載されていますが、一応記載しておきます。 やり方: 1.ヨドバシ・ドット・コムにログイン 2.会員ページに移動(画面上部の登録者名から移動) 3.画面上部にある「ご注文履歴」内にある「ご注文履歴から再注文する」のリンクを選択する(ボタンじゃないです) 4.パスワード入力 5.「ご注文履歴から再注文」画面が表示されますのでそこから検索してください。 検索方法について: ・「ご注文カテゴリをお選びください」は【絞り込み】のため、検索した結果のデータしか出てきません。  そのため下記画像の「①」で「全てのご注文」で検索した後(検索結果...
続きを読む

C# の WPF の DataGrid で 行を交互に背景色を変える+選択色を変える+カラムが無い所も変える…

イメージ
盛りだくさんのタイトルになりましたがまぁそういう事… 注意:個々のコードは最終確認してません。(動いている物から必要ない箇所を削除してます) DataGrid を使って表を作ることはよくあると思います。 で、見やすくするために「1行ごとに背景色を変える」っていうのは「AlternationCount」と「AlternatingRowBackground」を使えばすぐ出来ます。 こんな感じですね <DataGrid AlternationCount="2" AlternatingRowBackground="SkyBlue" SelectionMode="Single" SelectionUnit="FullRow"> で、そこにユーザが選択した時の色を変えるのもその辺に良く落ちてます。 こんな感じですね。 <DataGrid AlternationCount="2" AlternatingRowBackground="SkyBlue" SelectionMode="Single" SelectionUnit="FullRow" Background="Transparent"> <DataGrid.RowStyle> <Style TargetType="DataGridRow"> <Setter Property="Background" Value="White"/> <Setter Property="Foreground" Value="Black"/> <Style.Triggers> ...
続きを読む

Visual Studio の ホットリロードが動かない場合に確認するところ

とりあえずはここを読む ttps://learn.microsoft.com/ja-jp/troubleshoot/developer/visualstudio/tools-utilities/xaml-hot-reload-troubleshooting 英語版: ttps://learn.microsoft.com/en-us/troubleshoot/developer/visualstudio/tools-utilities/xaml-hot-reload-troubleshooting 今回困ったのは、デバッグ中の画面上部にホットリロード用のマーク(緑のレ点・赤の×)マークが有効(緑のレ点)になっているにもかかわらず、ホットリロードが効かない状態でした。 調べてもそれらしきものが見つけられずに早半年… やっと見つける事が出来ました。 きっかけはここ: ttps://zv-louis.hatenablog.com/entry/2023/03/21/110547 「Debug構成以外でホットリロードを有効にしたい」そんなことがあるかどうかは別にして… <XamlDebuggingInformation>true</XamlDebuggingInformation> の記述が… これってデフォルトで有効なんじゃないの…? 【ちなみに最初のマイクロソフトのHPにも記載があります。がデフォルトで有効でしょ!と思い追記しなかった…】 と思いながら、Debug構成内に追加した所動くじゃありませんか…orz すげーやられた感が漂います。 修正後内容はこれ <PropertyGroup Condition="'$(Configuration)|$(Platform)'=='Debug|AnyCPU'"> <DefineConstants>DEBUG;TRACE;</DefineConstants> <XamlDebuggingInformation>true</XamlDebuggingInformation> </PropertyGroup> <Propert...
続きを読む