回归最本质的信息安全

总是被勒索骗局滥用,Google决心要“废除”JavaScript这项小特性

2017年4月4日发布

5,539
0
0

导语:为解决浏览器中JavaScript对话框被滥用的状况,Google Chromium团队近日发布根治提案,同时建议开发者今后尽量不要使用该特性。

ZDNet报道,为解决浏览器中JavaScript对话框被滥用的状况,Google Chromium团队近日发布根治提案,同时建议开发者今后尽量不要使用该特性。

JavaScript对话框滥用,是指网站使用JavaScript循环和对话框特性,把用户锁定在当前网页,无法离开或关闭。通常钓鱼网站喜欢这么干,锁定网页的内容一定充斥着各种恐吓话术,来要挟用户下载恶意软件或者勒索。

JavascriptRansomeware.png

图/CNET,钓鱼网站勒索案例

要破除钓鱼网站的骗局并不难,安全公司Malwarebytes曾经给出过办法:用户可以在浏览器设置中禁用JavaScript,钓鱼网站就无法限制了。但这样做其它网站也没法使用JavaScript相关功能,在JavaScript大行其道的当下,总感觉有点因噎废食。

Chromium团队注意到上述情况,开始在Chrome dev版本着手解决问题。

首先是对话框特性,由于历史遗留原因,JavaScript使用的是模态对话框,弹窗时用户只能操作这个弹窗,不能进行其它操作,现在新版本改为只在当前标签页有效,弹窗了用户也可以切换或关闭网页。

其次是循环特性,目前的计划是需要得到用户确认才能进行,不会再出现网页无限循环加载和弹窗的情况。

Chromium团队还建议,需要使用弹窗的开发者(比如日历),可以换成通知形式。目前所有现代浏览器都支持通知特性,且用户体验更佳。

目前这项新提案已经在Chrome dev版本完全启用,并在beta、正式版部分启用,Google称未来将完全启用。

如若转载,请注明原文地址: http://www.4hou.com/info/news/4063.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

longye

longye

临时工

发私信

发表评论