javascript – 为什么在JS中将剪贴板写入安全漏洞?

目前来看,目前还没有纯JavaScript方法可以使用大多数现代浏览器访问系统剪贴板,Internet Explorer也是一个例外.在许多其他堆栈溢出问题(例如Clipboard access using Javascript – sans Flash?)中,解释说这个限制是一个有意的安全措施,以防止从剪贴板读取密码或其他敏感数据的网站.

虽然看起来很明显,从剪贴板读取将是一个巨大的安全风险,我不清楚为什么写入剪贴板.什么情况(如果有的话)是通过否认JS将数据复制到剪贴板的能力来防范的浏览器?

最佳答案
写入剪贴板是恶意网站(或其他代码在站点中运行,如基于Flash的广告)来欺骗用户传播恶意软件的方式.这是几年前发生的,基于Flash的广告将恶意软件网址复制到剪贴板上,希望用户在粘贴其他内容时粘贴它,从而污染Facebook的帖子,论坛和电子邮件.而不是链接到姨妈Tilly的猫的照片,您将粘贴一些驱动器恶意软件的链接.通常这些是“你已经感染了病毒,支付我们$50的删除软件”的假杀毒软件诈骗.
我做了一些研究,因为我的很多ClipMate客户都在问为什么这些令人讨厌的URL突然出现在ClipMate中.在研究过程中,我受到MSNBC和DIGG上基于Flash的广告的攻击.剪贴板随后被锁定在Flash 10中.您可以在这里阅读更多关于我的传奇:http://www.clipboardextender.com/defective-apps/clipboard-virus-not-exactly-but-still-dangerous

我期望JavaScript限制是为了防止类似的事情发生.

转载注明原文:javascript – 为什么在JS中将剪贴板写入安全漏洞? - 代码日志