Chrome是如何阻止惡意軟件被下載到計算機的？應用程序將更新為基于第三方數據的安全功能，這些數據在超過65%的臺式計算機上運行，以防止有害的下載。在大多數情況下，惡意參與者可以通過將它們嵌入ifra

Chrome是如何阻止惡意軟件被下載到計算機的？

應用程序將更新為基于第三方數據的安全功能，這些數據在超過65%的臺式計算機上運行，以防止有害的下載。在大多數情況下，惡意參與者可以通過將它們嵌入iframe來使用它們，這樣他們就可以運行隱藏在頁面內容中的惡意軟件或其他危險的有效負載。

谷歌相信它可以解決這個問題。chrome將來完成安全更新后，瀏覽器將很難顯示未經授權的下載。除非滿足三個不同的條件，否則新的過濾器可以防止此類操作。

首先，下載必須由用戶觸發，因此除非單擊下載鏈接，否則不應向用戶提供任何文件。然后，即使您單擊沙盒iframe，令牌也必須包含“allow downloads without user activation”關鍵字。最后但并非最不重要的一點是，谷歌表示，如果該框架在點擊或導航時未檢測到用戶手勢，它將阻止下載。

Yao Xiao，一位chromium工程師，在最近發布的一份文檔中討論了這個特性，但是沒有提供任何關于它何時對所有用戶可用的細節。

https://docs.google.com/document/d/1XfLQd9IbJBPAE4IAOvu4EubUaLuICJrDlrmz0YaMqq/edit

首先，我們需要了解iframe的應用場景。Iframe不能被使用，但不能被濫用。在數據提交方面，iframe可以提供比Ajax更高的穩定性和兼容性，所以在這方面可以使用它。同時，iframe的功能是嵌入網頁。如果您需要參考其他網頁進行解釋，iframe也是必要的。然而，使用嵌入式網頁來引入固定內容是完全錯誤的！盡管許多開源程序仍然在后臺使用這種方法，但這只是開發人員偷懶的一種手段。我們應該盡量避免在前臺應用這種方法，不管是用戶友好的還是搜索引擎友好的，這種方法都是極其愚蠢的。回到問題上來，你不知道你可以通過在后端引入一個公共模塊來修復頁面某個區域的內容

！將導航欄的內容拉到模板中，通過后端導入，然后與此頁面的內容一起輸出。這是后端新手應該了解的常識，隨著后端的介紹，每次打開頁面時，導航區和內容區都會一起加載。其效果與在每個頁面上復制導航區域的效果相同。只是在代碼中，文件被拆分以便于管理。請不要擔心每次重新加載導航區域。與頁面和JQ庫上的圖片相比，代碼生成的帶寬資源微不足道。主要思想是使用ajax讀取每個頁面的內容并填充內容區域。這沒什么問題，但太痛苦了。最好使用iframe直接引用導航欄。Ajax不應該被濫用。在一些交互中使用ajax可以方便地避免頁面刷新，減少請求量，但是在頁面切換中也使用ajax，即2B，對于高度調整的問題，可以使用js判斷頁面就緒時內容區域中元素的高度是否沒有填充，并將其設為$（window）。高度（）如果你不滿意。最后，從這個問題可以看出，該學科的知識過于分散，沒有得到系統的研究。我們最好冷靜下來好好看看書。