网民的网络账户被盗，可能是被“钓鱼”了

传统的钓鱼网站通常会申请与被冒充网站类似的域名，或者直接使用三级、四级域名进行冒充等。

钓鱼网址一般通过电子邮件、短信、聊天工具等传输系统发送给目标群体。 因此，这些传输系统的运营商将义不容辞地采取措施，尽可能地检测并拦截那些钓鱼URL。 即使他们不这样做，现代所有浏览器也会这样做。 最常见的钓鱼网站检测技术是维护钓鱼网站域名黑名单，或使用其他组织共享的黑名单（例如Google的Safe Browsing）。 一旦钓鱼网站被加入到这个黑名单中，其所有者钓鱼成功的概率就会大大降低。

我怎样才能跳过这些测试？ 如何在不使用常规 URL 的情况下托管网页？ 于是有人想到了使用Data URI。 仅在2017年，我就看到有两家网络安全公司发表文章，描述了两个利用Data URI进行网络钓鱼的真实案例，一个针对Gmail，一个针对Yahoo Mail。 我做了一个仿淘宝登录页面的钓鱼页面demo。 你可以尝试一下。

使用Data URI，整个网页的内容可以放在这个URL中。 由于Data URI根本没有域名的概念，黑名单拦截技术对其无效。 此外，还有一个好处，那就是你可以将任何你想要模拟的网站的 URL 放在 Data URI 的头部，如下所示：

在这个真实的 Gmail 登录 URL 后面是一系列比网络钓鱼者的屏幕还要宽的空格。 这些空格后面隐藏的是真正的网页源代码：

普通网友很容易忽略“data:text/html,”的多余字符。 有了这个加成，钓鱼者的钓鱼成功率就更高了，而且不用花钱去换域名了。

为此，从56开始，Chrome将地址栏左侧的Data URI标记为“不安全”URL：

这样可能会减少一些钓鱼事件的发生，但考虑到有些网友根本没有看地址栏的习惯（特别是现在有些浏览器故意弱化地址栏），打开网页时没有地址栏在移动端的WebView中，Chrome从60开始，采取了更彻底的做法：屏蔽从页面打开的Data URI URL（对应的行为是在地址栏中按Enter键打开Data URI URL）。

例如，这个链接：

<a href="data:text/html,foo">

如果点击这个链接，会直接报错，Not allowed to navigator topframe to data URL:

但右键菜单中的“在新选项卡中打开链接”或“在新窗口中打开链接”不受影响。 另外，本次将屏蔽以下跳转方式（几年前屏蔽了30x跳转）：

1.在html中添加

2.在响应头中添加refresh:0;url=data:text/html,foo

3、JS中执行window.open("data:text/html,foo")

4、JS中执行location.href = "data:text/html,foo"

所有允许页面跳转到Data URI的方法都将被阻塞，并且open()方法打开的新标签页将被强制替换为about:blank。 事实上，Chrome的这些拦截措施之前已经应用于file:、chrome:等协议中。

上述右键菜单中的各种操作除外：

1.

2、当指定的MIME触发浏览器下载逻辑，如open("data:application/zip,foo")

3.直接在地址栏输入Data URI并按Enter键

当然，也有顶级页面 URL 中不使用 Data URI 的情况，例如

的 src 属性、 的 src 属性、CSS 中的 url() 参数等不受影响。

在Chrome 60之前的Chrome 57、58、59三个版本中，当打开Data URI页面时，会有警告消息，提醒开发者提前迁移：

Chrome人做过统计，说从非Data URI页面跳转到Data URI页面的概率小于万分之五。 如果您的网站恰好使用这种前端生成页面的方式，您可以尝试迁移到后端生成。

Tags：钓鱼 屏蔽 域名 页面 网民