Каковы методы, чтобы обойти правила безопасности загрузки файлов IE?

Internet Explorer (с настройками по умолчанию, который, как я обычно предполагаю, будет действовать на рабочих столах Great Unwashed), кажется, не нравится идея принятия содержимого вложения в ответе HTTP, если соответствующий запрос не был сделан непосредственно из действие пользователя (например, обработчик "click" или подчиненная форма submit). Есть, вероятно, больше деталей и нюансов, но это основное поведение, которое расстраивает меня.

Мне кажется, что эта ситуация распространена: пользовательский интерфейс перед некоторым загружаемым контентом -— скажем, подготовленный отчет в формате PDF — позволяет использовать некоторые параметры и входы для создания контента. Теперь, как и во всех формах, которые позволяют пользователю определять, как приложение что-то делает, возможно, что вход будет ошибочным. Не всегда, но иногда.

Таким образом, существует дилемма. Если клиент пытается сделать что-то необычное, например, выполнить транзакцию AJAX, чтобы сервер проверил содержимое формы, а затем повторно отправить для загрузки, IE не понравится. Это не понравится, потому что фактическая транзакция HTTP, которая несет вложение назад, произойдет не в исходном обработчике событий пользовательского действия, а в обратном вызове завершения AJAX. Хуже того, поскольку панель безопасности IE, похоже, считает, что решение всех проблем состоит в том, чтобы просто перезагрузить внешнюю страницу с ее исходного URL-адреса, ее приглашение пользователю продолжить и загрузить подозрительный контент даже не будет работать.

Другой вариант - просто удалить форму. Сервер проверяет параметры, и если что-то не так, он отвечает на страницу формы-контейнера, соответствующим образом надуваясь сообщениями об ошибках. Если содержимое формы в порядке, оно генерирует контент и отправляет его обратно в ответе HTTP в виде прикрепленного файла. В этом случае (я думаю), IE счастлив, потому что контент, по-видимому, напрямую запрашивался пользователем (что, кстати, смехотворно хмурый способ рассказать хороший контент из плохого контента). Это замечательно, но теперь проблема заключается в том, что клиентская среда (то есть код на моей странице) не может сказать, что загрузка работала, поэтому форма все еще просто сидит там. Если моя форма находится в каком-то диалоге, мне действительно нужно закрыть это, когда операция завершена — действительно, что одна из мотиваций для этого - путь AJAX.

Мне кажется, что единственное, что нужно сделать, это оснастить диалоговые окна формы сообщениями, которые говорят что-то вроде: "Закройте это, когда начнется загрузка". Это действительно кажется мне хромым, потому что это пример интерфейса "пожалуйста, нажмите эту кнопку для меня": в идеале мой собственный код должен быть способен нажимать кнопку "buutton", когда это уместно. Ключевая вещь, которую я не знаю, заключается в том, есть ли способ для кода клиента обнаружить, что представление формы привело к загрузке приложения. Я никогда не слышал о том, как это обнаружить, но это нарушит тупик для меня.

ОТВЕТЫ

Ответ 1

Я так понимаю, вы отправляете форму с другим целевым окном; следовательно, форма остается на месте.

Существует несколько вариантов.

  • Отключите кнопку отправки и выполните текущую проверку в фоновом режиме, опросив форму для внесения изменений в поля и затем отменив запрос проверки для поля при его изменении. Когда форма находится в правильном состоянии, включите кнопку; когда это не так, отключите кнопку. Это не идеально, так как будет иметь место задержка, но она может быть достаточно хороша для того, что вы делаете.
  • Проведите базовую проверку, которая не требует округления к серверу в обработчике события формы submit, затем отправьте форму и удалите ее (или, возможно, просто скройте ее). Если дальнейшая проверка на сервере обнаруживает проблему, она может вернуть страницу, использующую JavaScript, чтобы указать исходному окну повторно отобразить форму.
  • Используйте cookie сеанса и уникальный идентификатор формы (текущее время из new Date().getTime()); когда форма отправлена, отключите кнопку отправки, но сохраните ее, пока ответ не вернется. Сделать ответ установленным cookie сеанса с этим идентификатором, указывающим успех/сбой. Получайте окно, содержащее опрос формы для файла cookie каждую секунду или около того, и действуйте на результат, когда он его видит. (Я никогда не делал этого последнего, не сразу понял, почему это не сработает.)

Я ожидаю, что существует около дюжины других способов обмануть этого кота, но это три, которые приходят на ум.

(Edit) Если вы не отправляете другую цель, вы можете пойти дальше и сделать это - на скрытую iframe на той же странице. Это (возможно, в сочетании с вышеупомянутыми или другими ответами) может помочь вам получить пользовательский опыт, который вы ищете.

Ответ 2

Есть целый ряд действительно хороших причин, по которым IE это делает, и я уверен, что это не то, с чем кто-либо будет спорить, поэтому главная цель - как-то обойти его, чтобы сделать что-то лучше для ваших пользователей.

Иногда его стоит переосмыслить, как все делается. Возможно, отключите кнопку, используйте javascript, чтобы проверить, когда заполнены все поля, и отмените запрос ajax, когда они есть. Если ajax был успешным, включите кнопку. Это лишь одно предложение, я уверен, что будет больше...

Изменить: подробнее...

Простая подача (не AJAX), и если сбой проверки, отправьте страницу назад, а не вложение. Отправленная страница может содержать всю первоначально отправленную информацию (плюс любое сообщение об ошибке для пользователя), поэтому пользователю не нужно заполнять всю форму снова. И я также уверен, что будет больше идей...

Изменить: подробнее...

Я уверен, что вы видели этот тип вещей раньше - и да, это дополнительный клик (не идеальный, но не жесткий).... "если загрузка не удалась, нажмите здесь" → в в этом случае сделайте это так, как вы хотите это сделать, но добавьте новую ссылку/кнопку на страницу, когда возвращается AJAX, поэтому, если загрузка не удалась, они могут отправить уже проверенную форму из "прямого действия пользователя". И я уверен, что буду думать больше (или кто-то другой будет).....

Ответ 3

Я некоторое время борюсь с подобной проблемой. В моем случае отправка в скрытый iframe не работала, если мое веб-приложение было встроено в iframe на другом сайте (проблемы сторонних файлов cookie), если наш сайт не был добавлен в список доверенных сайтов.

Я обнаружил, что могу разбить загрузку в последовательности POST и GET. Сообщение возвращает короткий GUID, который может использоваться в запросе GET для инициирования загрузки. POST может выполнить проверку формы, а также вернуть идентификатор GUID в успешном ответе. После того, как клиент имеет идентификатор GUID, вы можете установить свойство src для скрытого элемента iframe для URL-адреса загрузки. Браузер видит заголовок 'Content-Disposition': 'attachement' и дает пользователю загрузочную ленту для загрузки файла.

Пока он работает во всех последних браузерах. К сожалению, для загрузки файла вам необходимо изменить API-интерфейс на стороне сервера.