Zapytałem "How to run a executable file from a web page?"Co zaskakujące, kod JavaScript może wykonać każdy żądany proces. Czemu?
Wiele osób mówiło mi, że to niemożliwe, ale mój kolega znalazł fragment kodu JavaScript, który mógłby wykonać dowolny proces. Nie wierzę, że ActiveX jest tak niebezpieczny.
Jak to się mogło stać? Dlaczego nie jest to zabronione przez IE?
<SCRIPT language=JavaScript>
function Run(strPath) {
try {
var objShell = new ActiveXObject("wscript.shell");
objShell.Run(strPath);
objShell = null;
}
catch (e){alert('Can not find "'+strPath)
}
}
</SCRIPT>
<BUTTON class=button onclick="Run('notepad')">notepad</BUTTON><br>
<BUTTON class=button onclick="Run('mspaint')">mspaint</BUTTON><br>
<BUTTON class=button onclick="Run('calc')">calc</BUTTON><br>
<BUTTON class=button onclick="Run('format c:')">format c:</BUTTON><br>
Przyjaciel nawet zapisał plik wykonywalny w 'C: /' przy pomocy ActiveXObject. I nie było specjalnego poziomu ograniczeń. Ustawienia pochodziły z "fabryki". –
Dlaczego jest to możliwe? Ponieważ IE jest naprawdę ciężki! –