開(kāi)發(fā)四年只會(huì)寫(xiě)業(yè)務(wù)代碼，分布式高并發(fā)都不會(huì)還做程序員？??

谷歌正在增加對(duì)攔截網(wǎng)站 iframe 的自動(dòng)下載的支持。這是攻擊者在有或沒(méi)有用戶允許的情況下，在易受攻擊的機(jī)器上實(shí)現(xiàn)惡意軟件下載的首選技術(shù)之一。

點(diǎn)擊式（Drive-by）下載是指瀏覽器在沒(méi)有用戶允許的情況下載文件，這種方式可以通過(guò)惡意廣告、iframe的后臺(tái)或攻擊者在網(wǎng)站上植入的惡意腳本完成，所以用戶基本感覺(jué)不到。

禁止 iframe 中的下載功能最初是由 Google 的 Mike West 在 2013 年 WHATWG (Web Hypertext Application Technology Working Group)郵件列表中提到的，并在 2017 年底，該建議在 WHATWG 的 GitHub 上重新被提及。

它最終被 Chromium Project 的 Yao Xiao 所接受，他在一份名為“Preventing Drive-By-Downloads in Sandboxed Iframes” 的公開(kāi) Google 文檔中發(fā)布了該功能的設(shè)計(jì)和核心原則的詳細(xì)信息。

該功能支持“導(dǎo)航和模擬點(diǎn)擊鏈接”觸發(fā)的下載，這些鏈接可以在沒(méi)有用戶允許的情況下發(fā)生。

只有在滿足以下所有條件時(shí)才會(huì)阻止下載：

• 下載是通過(guò)或?qū)Ш接|發(fā)的，可以沒(méi)有用戶的手勢(shì)。

• 單擊或?qū)Ш桨l(fā)生在沙盒 iframe 中，除非令牌包含“allow-downloads-without-user-activation”關(guān)鍵字。

• 在單擊或?qū)Ш綍r(shí)沒(méi)有捕獲用戶手勢(shì)的幀。

此功能助于防止惡意廣告向互聯(lián)網(wǎng)用戶進(jìn)行惡意下載操作。

在Chrome瀏覽器中添加此功能之前，如果希望保護(hù)自己免受惡意廣告攻擊，你可以通過(guò)阻止所有 JavaScript 和相關(guān)腳本運(yùn)行實(shí)現(xiàn)，也可以通過(guò)過(guò)濾不受信任的網(wǎng)站和添加信任網(wǎng)站來(lái)做到這一點(diǎn)。

總結(jié)

以上是生活随笔為你收集整理的Google Chrome 增加拦截恶意下载的支持的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。