Os sites da Web sabem o nome da pasta quando eu carrego um arquivo dessa pasta?

Se eu estiver enviando um arquivo para um site de uma pasta chamada "XXX", o site saberá que estou enviando esse arquivo de "XXX"?

Em essência, o site saberá o nome da pasta?

Nota: eu uso o Safari no Mac.

safari upload

— delick
fonte

Eu acredito que é mascarado pelo navegador que está fazendo o upload do arquivo.

— Moab

@ Moab Eu estou usando o Safari pelo caminho. Isso é verdade para o Safari?

— delick

Eu acho que é verdade para todos os navegadores.

— Moab

@Moab Ah ótimo, obrigado! Posso perguntar como você sabia disso?

— delick

Porque seria um enorme buraco de segurança se não o fizessem.

— Moab

O navegador não deve enviar a parte da pasta para o site, como isso pode ser tomado como uma forma de ataque.

De RFC 6266 - Uso do campo Cabeçalho de disposição de conteúdo no Protocolo de transferência de hipertexto (HTTP) :

Os destinatários NÃO PODEM ser capazes de escrever em qualquer outro local aquele para o qual eles são especificamente intitulados . Para ilustrar o problema, considere as conseqüências de poder sobrescrever locais de sistema conhecidos (como "/ etc / passwd"). Uma estratégia para conseguir isso é nunca confiar em informações do nome da pasta no parâmetro filename, por exemplo, retirando todos os últimos segmento de caminho e considerando apenas o nome do arquivo real (onde 'path segmentos 'são os componentes do valor do campo delimitados pelo caracteres separadores de caminho "\" e "/").

Qualquer navegador que inclua a parte da pasta no nome do arquivo enviado corre o risco de ser corte pelos serviços de segurança no site do servidor. Tanto quanto eu sei, nenhum navegador faz isso.

— harrymc
fonte