Google Chrome增加拦截恶意下载的支持

谷歌正在增加对拦截网站 iframe 的自动下载的支持。这是攻击者在有或没有用户允许的情况下，在易受攻击的机器上实现恶意软件下载的首选技术之一。点击式（Drive-by）下载是指浏览器在没有用户允许的情况下载文件，这种方式可以通过恶意广告、iframe的后台或攻击者在网站上植入的恶意脚本完成，所以用户基本感觉不到。

禁止 iframe 中的下载功能最初是由 Google 的 Mike West 在 2013 年 WHATWG (Web Hypertext Application Technology Working Group)邮件列表中提到的，并在 2017 年底，该建议在 WHATWG 的 GitHub 上重新被提及。

它最终被 Chromium Project 的 Yao Xiao 所接受，他在一份名为“Preventing Drive-By-Downloads in Sandboxed Iframes” 的公开 Google 文档中发布了该功能的设计和核心原则的详细信息。

该功能支持“导航和模拟点击链接”触发的下载，这些链接可以在没有用户允许的情况下发生。

只有在满足以下所有条件时才会阻止下载：

• 下载是通过或导航触发的，可以没有用户的手势。
• 单击或导航发生在沙盒 iframe 中，除非令牌包含“allow-downloads-without-user-activation”关键字。
• 在单击或导航时没有捕获用户手势的帧。

此功能助于防止恶意广告向互联网用户进行恶意下载操作。

在Chrome浏览器中添加此功能之前，如果希望保护自己免受恶意广告攻击，你可以通过阻止所有 JavaScript 和相关脚本运行实现，也可以通过过滤不受信任的和添加信任网站来做到这一点。