В Firefox 58 будет запрещён прямой переход на URL «data:»

В целях противодействия фишингу разработчики Mozilla приняли решение блокировать открытие в основной странице URL «data:», содержимое которых может быть использовано для отображения в адресной строке информации, вводящей пользователя в заблуждение (например, «data:text/html,https://auth.site.com/много пробелов…‹script›JavaScript-блок‹/script›»).

Подобной нехитрой подстановки оказывается достаточно для обмана многих неквалифицированных пользователей, которые видя знакомый адрес не замечают подвоха и вводят параметры аутентификации, не обращая внимания на строку «data:text/html» перед именем домена. Блокировка вступит в силу в Firefox 58, релиз которого ожидается 23 января.

В Firefox 58 перестанет работать открытие ссылок «data:», которые включают в себя непосредственно данные страницы, через JavaScript-методы window.open(«data:…») и window.location = «data:…», а также клики на ссылки с ‹a href=»data:…»› и редиректы через meta refresh и код состояния 302. При этом останутся работоспособны такие способы как явное копирование блока «data:» в адресную строку через буфер обмена и открытие блоков с MIME-типами «plain/text», «data:application/pdf», «data:application/json» и «image/*» (за исключением «data:image/svg+xml»).

Источник: opennet.ru




(Visited 50 times, 1 visits today)

Добавить комментарий

Войти с помощью: