firefox的插件是如何访问文件系统的

Question

firefox不允许javascript在客户机上保存文件是浏览器的安全策略。

https://addons.mozilla.org/en-US/firefox/addon/1046

上面的链接插件可以保存文件，那么为什么我们不能使用javascript在文件系统中保存文件

Answer 1

作为用户显式选择安装的扩展的一部分的代码比在用户碰巧访问的页面上运行的代码更受信任。因此，Firefox允许扩展代码执行此功能(访问文件系统)，但不允许在网页中运行的代码执行此操作。

这是有道理的:与让用户安装恶意扩展相比，攻击者让用户意外访问他的恶意页面并运行其javascript (例如，使用不可见的iframe)要容易得多。此外，Mozilla代码会检查他们网站上的每个扩展，以确保它们不是恶意的。

我还应该注意到，扩展并不一定要用Javascript编写。它们中的许多都是用本机代码(通常是C++)编写的，也有用于其他语言(例如Python)的XPCOM (扩展与浏览器交互的一种方式)绑定。

Answer 2

Javascript是从您访问的网页执行的；一般来说，您不能信任您访问的每个网页--这就是为什么有这样的安全措施。

另一方面，对于扩展：

• You决定哪个扩展模块有权在您的系统上运行，因为您是为它们安装
  • 的人，而安装一个扩展模块意味着您信任it.

​

• 由古物古迹办事处的团队进行测试/审查(如果我错了，请纠正我?)

Answer 3

附加组件不受安全限制，因为用户显式地安装了它们(例如，表示信任)。有关详细信息，请参阅extensions documentation。这与在网页上运行的JavaScript有很大的不同，用户并没有表示信任。