目前似乎没有纯 JavaScript 方法可以使用大多数现代浏览器访问系统剪贴板,Internet Explorer 是一个异常(exception)。在许多其他 Stack Overflow 问题(例如 Clipboard access using Javascript - sans Flash?)中,解释说此限制是一种有意的安全措施,以防止网站从剪贴板读取密码或其他敏感数据。
虽然从剪贴板读取显然会带来巨大的安全风险,但我不清楚为什么写入到剪贴板会有风险。浏览器通过拒绝 JS 将数据复制到剪贴板的能力来防止什么情况(如果有的话)?
最佳答案
写入剪贴板是恶意网站(或网站内运行的其他代码,例如基于 Flash 的广告)诱骗用户传播恶意软件的一种方式。这发生在几年前,基于 Flash 的广告将恶意软件 URL 复制到剪贴板,希望用户在打算粘贴其他内容时粘贴它,从而污染 Facebook 帖子、论坛和电子邮件等内容。您可以粘贴指向某些偷渡式恶意软件的链接,而不是指向蒂莉阿姨的猫的照片的链接。通常这些是“您已感染病毒,请支付 50 美元购买删除软件”的假冒防病毒诈骗。 我对此做了一些研究,因为我的很多 ClipMate 客户都在问为什么这些讨厌的 URL 突然出现在 ClipMate 中。在研究期间,我在 MSNBC 和 DIGG 上受到了基于 Flash 的广告的攻击。剪贴板随后在 Flash 10 中被锁定。您可以在此处阅读有关我的传奇的更多信息:http://www.clipboardextender.com/defective-apps/clipboard-virus-not-exactly-but-still-dangerous
我希望 JavaScript 限制是为了防止类似的事情发生。
关于javascript - 为什么在 JS 中写入剪贴板被认为是安全漏洞?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7060109/