"文件拖放与 DataTransfer：安全边界与用户体验"

概述原生拖放通过 `dragenter/dragover/drop` 与 `DataTransfer` 对象在页面内外传递数据与文件。需正确处理事件与类型过滤，避免恶意拖放与意外覆盖。事件与用法在 `dragover` 阻止默认以允许放置：`event.preventDefault()`；在 `drop` 中读取 `event.dataTransfer.files` 或 `items`。类型过滤与大小限制：检查 `file.type` 与大小；对可疑类型拒绝或二次确认。严格作用域：仅在目标区域启用拖放；避免全页面监听导致误操作。安全与 UX不信任来源：对跨源拖放保持谨慎；避免自动执行内容；对 HTML/脚本类文件隔离与提示。反馈与错误：提供拖放高亮与进度与错误提示；支持撤销与重复上传检查。参考与验证［参考1］MDN 中文：拖放 API 与 DataTransfer 概览与用法：https://developer.mozilla.org/zh-CN/docs/Web/API/HTML_Drag_and_Drop_API［参考2］MDN 英文：DataTransfer 接口与文件读取说明：https://developer.mozilla.org/en-US/docs/Web/API/DataTransfer关键词校验关键词与文件拖放与安全一致。