はじめに
ファイルアップロード機能などで利用されるinput type="file"というHTMLタグですが、IE8からはセキュリティ上の理由からテキストボックスの部分にユーザが直接入力することができなくなりました。このため、ファイル名の入力は、ファイル選択ダイアログから行う必要があります。
ファイルのアップロード制御
歴史的に見て、HTML の ファイル アップロード コントロール (input type=file) はかなりの数の公開された脆弱性の温床であり続けました。この問題を解決するため、このコントロールの動作について二つの変更を加えました。
ユーザーの入力するローカルのファイル パスをキーストロークの監視によって盗む攻撃を防ぐため、ファイル パスの編集ボックスを読み取り専用としました。ファイルをアップロードする場合、ファイルの参照ダイアログを利用して、ファイルを指定する必要があります。
2008/7/2 - Internet Explorer 8 のセキュリティ : 総合的な保護