Chrome是如何阻止惡意軟件被下載到計(jì)算機(jī)的？應(yīng)用程序?qū)⒏聻榛诘谌綌?shù)據(jù)的安全功能，這些數(shù)據(jù)在超過65%的臺式計(jì)算機(jī)上運(yùn)行，以防止有害的下載。在大多數(shù)情況下，惡意參與者可以通過將它們嵌入ifra

Chrome是如何阻止惡意軟件被下載到計(jì)算機(jī)的？

應(yīng)用程序?qū)⒏聻榛诘谌綌?shù)據(jù)的安全功能，這些數(shù)據(jù)在超過65%的臺式計(jì)算機(jī)上運(yùn)行，以防止有害的下載。在大多數(shù)情況下，惡意參與者可以通過將它們嵌入iframe來使用它們，這樣他們就可以運(yùn)行隱藏在頁面內(nèi)容中的惡意軟件或其他危險(xiǎn)的有效負(fù)載。

谷歌相信它可以解決這個(gè)問題。chrome將來完成安全更新后，瀏覽器將很難顯示未經(jīng)授權(quán)的下載。除非滿足三個(gè)不同的條件，否則新的過濾器可以防止此類操作。

首先，下載必須由用戶觸發(fā)，因此除非單擊下載鏈接，否則不應(yīng)向用戶提供任何文件。然后，即使您單擊沙盒iframe，令牌也必須包含“allow downloads without user activation”關(guān)鍵字。最后但并非最不重要的一點(diǎn)是，谷歌表示，如果該框架在點(diǎn)擊或?qū)Ш綍r(shí)未檢測到用戶手勢，它將阻止下載。

Yao Xiao，一位chromium工程師，在最近發(fā)布的一份文檔中討論了這個(gè)特性，但是沒有提供任何關(guān)于它何時(shí)對所有用戶可用的細(xì)節(jié)。

https://docs.google.com/document/d/1XfLQd9IbJBPAE4IAOvu4EubUaLuICJrDlrmz0YaMqq/edit

首先，我們需要了解iframe的應(yīng)用場景。Iframe不能被使用，但不能被濫用。在數(shù)據(jù)提交方面，iframe可以提供比Ajax更高的穩(wěn)定性和兼容性，所以在這方面可以使用它。同時(shí)，iframe的功能是嵌入網(wǎng)頁。如果您需要參考其他網(wǎng)頁進(jìn)行解釋，iframe也是必要的。然而，使用嵌入式網(wǎng)頁來引入固定內(nèi)容是完全錯(cuò)誤的！盡管許多開源程序仍然在后臺使用這種方法，但這只是開發(fā)人員偷懶的一種手段。我們應(yīng)該盡量避免在前臺應(yīng)用這種方法，不管是用戶友好的還是搜索引擎友好的，這種方法都是極其愚蠢的?；氐絾栴}上來，你不知道你可以通過在后端引入一個(gè)公共模塊來修復(fù)頁面某個(gè)區(qū)域的內(nèi)容

！將導(dǎo)航欄的內(nèi)容拉到模板中，通過后端導(dǎo)入，然后與此頁面的內(nèi)容一起輸出。這是后端新手應(yīng)該了解的常識，隨著后端的介紹，每次打開頁面時(shí)，導(dǎo)航區(qū)和內(nèi)容區(qū)都會一起加載。其效果與在每個(gè)頁面上復(fù)制導(dǎo)航區(qū)域的效果相同。只是在代碼中，文件被拆分以便于管理。請不要擔(dān)心每次重新加載導(dǎo)航區(qū)域。與頁面和JQ庫上的圖片相比，代碼生成的帶寬資源微不足道。主要思想是使用ajax讀取每個(gè)頁面的內(nèi)容并填充內(nèi)容區(qū)域。這沒什么問題，但太痛苦了。最好使用iframe直接引用導(dǎo)航欄。Ajax不應(yīng)該被濫用。在一些交互中使用ajax可以方便地避免頁面刷新，減少請求量，但是在頁面切換中也使用ajax，即2B，對于高度調(diào)整的問題，可以使用js判斷頁面就緒時(shí)內(nèi)容區(qū)域中元素的高度是否沒有填充，并將其設(shè)為$（window）。高度（）如果你不滿意。最后，從這個(gè)問題可以看出，該學(xué)科的知識過于分散，沒有得到系統(tǒng)的研究。我們最好冷靜下來好好看看書。