谷歌正在增加对拦截网站 iframe 的自动下载的支持。这是攻击者在有或没有用户允许的情况下,在易受攻击的机器上实现恶意软件下载的首选技术之一。
点击式(Drive-by)下载是指浏览器在没有用户允许的情况下载文件,这种方式可以通过恶意广告、iframe的后台或攻击者在网站上植入的恶意脚本完成,所以用户基本感觉不到。
禁止 iframe 中的下载功能最初是由 Google 的 Mike West 在 2013 年 WHATWG (Web Hypertext Application Technology Working Group)邮件列表中提到的,并在 2017 年底,该建议在 WHATWG 的 GitHub 上重新被提及。
它最终被 Chromium Project 的 Yao Xiao 所接受,他在一份名为“Preventing Drive-By-Downloads in Sandboxed Iframes” 的公开 Google 文档中发布了该功能的设计和核心原则的详细信息。
该功能支持“导航和模拟点击链接”触发的下载,这些链接可以在没有用户允许的情况下发生。
只有在满足以下所有条件时才会阻止下载:
下载是通过或导航触发的,可以没有用户的手势。
单击或导航发生在沙盒 iframe 中,除非令牌包含“allow-downloads-without-user-activation”关键字。
在单击或导航时没有捕获用户手势的帧。
此功能助于防止恶意广告向互联网用户进行恶意下载操作。
在Chrome浏览器中添加此功能之前,如果希望保护自己免受恶意广告攻击,你可以通过阻止所有 JavaScript 和相关脚本运行实现,也可以通过过滤不受信任的网站和添加信任网站来做到这一点。