前端文件下载:安全地引导用户选择保存目录并告知后端
许多前端应用需要实现文件下载功能,并允许用户指定保存文件的目录。本文探讨如何安全地实现这一功能,并说明如何将相关信息安全地传递给后端服务器。
直接获取用户本地文件系统完整路径并发送给后端,存在严重的安全隐患,因此不被浏览器允许。
解决方法:使用 File System Access API
File System Access API 提供了一种安全的方式来访问用户文件系统。它不会直接返回文件系统路径字符串,而是提供对特定目录的引用。这有效防止了恶意脚本直接访问用户敏感文件。
您可以使用该 API 在用户选择的目录中创建文件并写入下载内容。但是,关键在于:这个目录引用无法直接发送给后端服务器。 这并非 API 的局限,而是浏览器出于安全考虑的限制。API 提供的是对目录的访问权限,而不是路径字符串。
因此,后端无法直接获取用户选择的文件夹的完整路径。 替代方案是,前端可以将用户选择的文件夹名称(而非完整路径)发送给后端,后端则根据该名称在服务器端创建一个对应的文件夹,并将文件保存到该服务器端文件夹中。 前端只需要告知后端文件名即可完成下载。
