xslt и firefox/chrome

python -m http.server 8080

в ff security.fileuri.strict_origin_policy в false

https://kb.mozillazine.org/Security.fileuri.strict_origin_policy

chrome --allow-file-access-from-files

Всем спасибо, помогло..

есть у кого комментарии, с какого рожна подобное позапрещали в браузерах ?

с какого рожна

«Чтобы этот сайт был всегда вам доступен, сохраните его себе на диск!!!
А теперь…
Откройте!!!»

Какой идиот и зачем додумался это запрещать по умолчанию? Особенно если обращение к файлу из той же директории.

Только идиот может считать, что это не должно быть запрещено по-умолчанию, и не помнит времена, когда это по-умолчанию запрещено не было.

Поясните идиоту в чём проблема безопасности с локальными файлами в той же директории?

В том, что какая-то левая страница, которую ты просто сохранил на диск, может вдруг получить доступ к содержимому твоего хомяка.

Я же написал, что обращение к файлам из той же директории, что и HTML страница.

И? Кто его знает, что там за файлО лежит. Ты вполне мог сохранить какую-то левую страницу в $HOME.

Ты вполне мог сохранить какую-то левую страницу в $HOME.

ССЗБ же.

Когда что-то легко сделать случайно — оно будет сделано. Неоднократно.

Через python -m http.server 8080 будет тоже самое.

И что? Если нельзя избежать вообще всех опасностей сразу — значит, не надо пытаться хотя бы избежать наиболее вероятных?

Чтение файлов из той же директории, что и HTML – это далеко не вероятная опасность.

Сохранение левого HTML рядом с чем-то, не имеющим к нему отношения — вполне вероятная.

У тех у кого полный бардак.

И?

но при этом «левая страница» сохранённая на локальный диск, может влёт обращаться в интернет при открытии, за CDN-ом и рекламой. Это-ж блин нормально. А локальные файлы несекьюрно.

собственно топик возник из разгребания старых проектов, то есть такое поведение (открытие и применение локально-сохранённого шаблона) было допустимым. Это в какой-то момент всех проклинило

Лучше бы они обращение к сети из локальных HTML файлов заблокировали. Вот где решето.

Лучше бы они обращение к сети из локальных HTML файлов заблокировали. Вот где решето.

А чем это отличается от той же страницы, только в сети?

В сети может быть любая зараза, а локальное содержимое контролируется пользователем и более безопасно. Сертификаты Lets Encrypt кому попало выдают.

А ты бы предпочёл, чтобы сохранённая «левая страница» вместо похода наружу за рекламой отдала туда файло с твоего диска?

локальное содержимое контролируется пользователем

Ха!

А ты бы предпочёл, чтобы сохранённая «левая страница» вместо похода наружу за рекламой отдала туда файло с твоего диска?

я бы предпочёл чтобы «левая» сохранённая страница не лезла в интернеты, но работала с локальными файлами. Стили и подобное.

не лезла в интернеты

А если юзер на ссылку кликнул?

А если это такая специальная страница, чтоб слазить в интернет, собрать всё что надо и красиво поклониться?

Одному надо, чтоб страница подгрузила несколько локальных файлов, но не лезла в сеть. Другому – чтоб без гамака сохраняла файлы. Третьему, чтоб в сеть лезла. А четвёртому всё это сразу.

Наверное можно было бы придумать какию-нибудь ещё флаги разрешающие «грузить локальные файлы или слать что-то в сеть, но не вместе» и " брать что-то из сети или сохранять локально, но не вместе". Но так можно и до раздачи разрешений на конкретные файлы добраться.

опять-же непонятно отчего он так ругается на xslt, и вполне принимает css из локального файла.

Все стали обсуждать запрет на чтение с локального диска, и никто не спросил: а зачем вообще в 2022 году нужно загружать XML со стилем XSLT.

Кажется, что это устарело где-то так на 20 лет. Я уже наверное лет 8-9 не встречал упоминания XML (если это не корпоративный ~КОБОЛ~Java). А про XSLT наверное все 15 не слышал…

Мало ли, о чём ты не слышал, маня. XML и XSLT — как бы стандарты для markup, и область их применения этим вашим вебом не ограничивается.