No povedzme že JS nemá prístup k vloženým ActiveX a objektom (word doc, flash, atď). To je jediné čo by cez canvas videl navyše a to sa dá ošetriť tak, že namiesto obsahu takýchto objektov by browser do canvasu skopíroval napr. len bielu plochu.
Ale aj tak neviem ako by ten útok mal fungovať, že by na útočníkovej stránke bol vložený JS, čo vytvorí do stránky objekt a otvorí v ňom napr. http://192.168.1.100/secret.doc a potom ho cez canvas prečíta? Zdá sa mi to dosť nepravdepodobné, musel by to byť nejaký bývalý zamestnanec a firma by musela naozaj používať docy namiesto HTML a napokon neviem či to vôbec webbrowsery povoľujú, vkladať do dokumentov na internetových doménach obsah z intranetu.
Názor k článku
Vytváříme kreslicí aplikaci s HTML5 canvasem (dokončení)
