ブラウザ開発者の間では、よく知られている問題だと思うけど、普通にインターネットを使っているユーザーからすると、あまり知られていないのではないかと思うので書く。
例えば ~/.ssh/id_rsa にSSHの秘密鍵を保存している平均的なMac OS Xユーザーが居るとして、こういう
<script>
var req = new XMLHttpRequest;
var username = location.href.match(/Users\/(.*?)\//)[1];
alert("Username:" + username);
req.open("GET", "file:///Users/" + username + "/.ssh/id_rsa");
req.onload = function(){ alert(req.responseText) };
req.send();
</script>
HTMLファイルをデスクトップやダウンロードフォルダに保存させた上で開かせるとどうなるか?
JavaScript使いは簡単なアプリケーションならローカルのHTMLファイルで作るということもよくあると思う。ソフトウェア開発者がマニュアルを記述するのに、手書きすることができて、どんな環境でもたいてい開けるHTMLを使うのもよくあるだろう。ローカルに保存されたHTMLファイルというのは、使われる機会の割に、そのHTMLファイルを「どの程度安心して開けるのか」ということがあまりにも知られてなさすぎるのではないか、と感じる。
ブラウザごとにどういうアプローチを取ってるのかが結構違ったりするので、軽く紹介してみよう(どのバージョンからこうなったのかというのがなんとなく記憶にあるが詳しく調べてない)
- ローカルファイルに対してXMLHttpRequestを発行すると Cross origin requests are only supported for HTTP.
- 今見ているファイルだけがSame originで、それ以外は異なるoriginだと考えているようだ。
- ローカルファイルに対してXMLHttpRequestを発行すると "XMLHttpRequest to files is disabled for security reasons. Set "Allow File XMLHttpRequest" with opera:config#UserPrefs|AllowFileXMLHttpRequest to disable this security check." という警告が出る。
- この設定を有効にすると、ローカルファイルに対するXMLHttpRequestが有効になる。
- 設定を有効にした場合は、異なるディレクトリにあるファイルでも読める。
- 異なるoriginとは見なしていないので、ブラウザで表示できる種類のファイルであれば、iframeを使って任意のファイルが読める。
まとめ
- 何の警告もなく、デフォルトの設定で、ローカルファイルから任意のローカルファイルを読み取れるのはSafariだけだ!!!!!!!
- WebKit使っているアプリが、ローカルファイルのコンテキストで何か表示する+バグがあると、この問題の影響を受けることがあります
- ローカルHTMLをベースにしたアプリケーションが、警告を無効化したり設定を変更するように説明していることが、たまにあります
- ローカルHTMLファイルでWebアプリケーションのモックを作ったり、開発を行ったりする際に、設定変更する方法を案内している記事があります。
- 無効化されていたり警告が出たりするのには、それなりに意味があるので、何が出来るのかについてよく考えた上で、設定変更は慎重に行いましょう
- Safariで(信頼できない)ローカルのHTMLファイルを開くのは、現状避けるべきでしょう。
補足
- このエントリを書いてる目的は主に二つで
- 一部のブラウザに置いては信頼できないHTMLファイルを開くのは、ローカルファイル漏洩の危険がある。(ユーザーに対する注意喚起)
- ブラウザコンポーネントを組み込んだソフトウェアで「任意のローカルファイルを保存して開かせる機能」や「file://プロトコルで開いているときに任意のHTMLを混入できるバグ」があると、ローカルファイル漏洩の危険がある。(開発者に対する注意喚起)
参考文献