FastReport在线设计器离线版如何加载本地报表模板？

一、现象层：浏览器沙箱机制导致的“文件不可见”假象

FastReport Web Designer 离线版启动后，UI 中“打开”按钮点击即显示空列表或 Failed to access file system 错误。这不是 FastReport 自身缺陷，而是 Chromium/Edge/Firefox 对 file:// 协议的主动封锁——现代浏览器禁止 Web 应用通过 XMLHttpRequest 或 fetch 直接读取 file:///C:/Reports/ 路径。该限制自 2015 年起成为 Web 安全基线，与是否联网无关。

二、机制层：离线 ≠ 本地执行 —— 渲染进程与安全上下文解耦

• 离线部署 ≠ 本地进程：前端仍运行于浏览器渲染进程（Renderer Process），无 Node.js 集成时无法调用 fs.readFileSync()；
• Web Worker 受限：即使启用 Worker，也无法突破同源策略访问本地磁盘路径；
• file:// 协议下默认禁用 CORS、fetch、localStorage（部分浏览器）及 Blob URL 解析。

三、诊断层：静默失败的四大根因链

四、方案层：三类合规接入路径对比

五、实施层：ASP.NET Core 后端桥接关键代码

// Startup.cs - 配置文件 API（支持 Windows UNC 和本地路径白名单）
services.AddControllers().AddXmlSerializerFormatters();
// FileController.cs
[HttpGet("api/files")]
public IActionResult ListFiles([FromQuery] string path) {
  var safeRoot = @"C:\FR_Templates"; // 企业级：从 appsettings.json 加载
  var fullPath = Path.GetFullPath(Path.Combine(safeRoot, path));
  if (!fullPath.StartsWith(safeRoot, StringComparison.OrdinalIgnoreCase))
      return BadRequest("Path traversal attempt");
  var files = Directory.GetFiles(fullPath, "*.frdx")
    .Select(f => new { Name = Path.GetFileName(f), Size = new FileInfo(f).Length });
  return Ok(files);
}

// 前端调用示例（fr-web-designer 初始化时）
frxDesigner.loadFileFromUrl('/api/files?path=' + encodeURIComponent('Invoices'));

六、加固层：企业私有化部署必做五项

1. 在 web.config 或 nginx.conf 中显式声明：add_header Content-Security-Policy "default-src 'self';"；
2. 为 .frdx 文件配置 MIME：application/xml（IIS：MIME 类型映射；Nginx：types { application/xml frdx; }）；
3. 模板预检脚本：使用 PowerShell 批量移除 UTF-8 BOM：Get-ChildItem *.frdx | ForEach-Object { (Get-Content $_ -Raw) | Set-Content $_ -Encoding UTF8NoBOM }；
4. 设计时禁用远程资源：覆盖 frxDesigner.options.allowRemoteResources = false；
5. 审计日志：在 FileController 中记录每次 ListFiles 调用的 IP、User-Agent、路径参数（满足等保2.0日志留存要求）。