Google Chrome 增加拦截恶意下载的支持
開發四年只會寫業務代碼,分布式高并發都不會還做程序員???
谷歌正在增加對攔截網站 iframe 的自動下載的支持。這是攻擊者在有或沒有用戶允許的情況下,在易受攻擊的機器上實現惡意軟件下載的首選技術之一。
點擊式(Drive-by)下載是指瀏覽器在沒有用戶允許的情況下載文件,這種方式可以通過惡意廣告、iframe的后臺或攻擊者在網站上植入的惡意腳本完成,所以用戶基本感覺不到。
禁止 iframe 中的下載功能最初是由 Google 的 Mike West 在 2013 年 WHATWG (Web Hypertext Application Technology Working Group)郵件列表中提到的,并在 2017 年底,該建議在 WHATWG 的 GitHub 上重新被提及。
它最終被 Chromium Project 的 Yao Xiao 所接受,他在一份名為“Preventing Drive-By-Downloads in Sandboxed Iframes” 的公開 Google 文檔中發布了該功能的設計和核心原則的詳細信息。
該功能支持“導航和模擬點擊鏈接”觸發的下載,這些鏈接可以在沒有用戶允許的情況下發生。
只有在滿足以下所有條件時才會阻止下載:
下載是通過或導航觸發的,可以沒有用戶的手勢。
單擊或導航發生在沙盒 iframe 中,除非令牌包含“allow-downloads-without-user-activation”關鍵字。
在單擊或導航時沒有捕獲用戶手勢的幀。
此功能助于防止惡意廣告向互聯網用戶進行惡意下載操作。
在Chrome瀏覽器中添加此功能之前,如果希望保護自己免受惡意廣告攻擊,你可以通過阻止所有 JavaScript 和相關腳本運行實現,也可以通過過濾不受信任的網站和添加信任網站來做到這一點。
總結
以上是生活随笔為你收集整理的Google Chrome 增加拦截恶意下载的支持的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: spring boot: 构建项目时报错
- 下一篇: Vue 组件间的通讯