谷歌正在增加对拦截网站 iframe 的自动下载的支持。这是攻击者在有或没有用户允许的情况下,在易受攻击的机器上实现恶意软件下载的首选技术之一。点击式(Drive-by)下载是指浏览器在没有用户允许的情况下载文件,这种方式可以通过恶意广告、iframe的后台或攻击者在网站上植入的恶意脚本完成,所以用户基本感觉不到。
它最终被 Chromium Project 的 Yao Xiao 所接受,他在一份名为“Preventing Drive-By-Downloads in Sandboxed Iframes” 的公开 Google 文档中发布了该功能的设计和核心原则的详细信息。
- 该功能支持“导航和模拟点击链接”触发的下载,这些链接可以在没有用户允许的情况下发生。
- 只有在满足以下所有条件时才会阻止下载:
- 下载是通过或导航触发的,可以没有用户的手势。
- 单击或导航发生在沙盒 iframe 中,除非令牌包含“allow-downloads-without-user-activation”关键字。
- 在单击或导航时没有捕获用户手势的帧。
- 此功能助于防止恶意广告向互联网用户进行恶意下载操作。
- 在Chrome浏览器中添加此功能之前,如果希望保护自己免受恶意广告攻击,你可以通过阻止所有 JavaScript 和相关脚本运行实现,也可以通过过滤不受信任的网站和添加信任网站来做到这一点。
- 我的微信
- 微信扫一扫
-
- 我的微信公众号
- 微信扫一扫
-
评论