自动下载触发
检查是否可通过 download 属性、Blob URL 或 data URL 在没有明确用户点击的情况下开始文件下载。
按 sandbox 策略的行为
| 策略 | 预期结果 |
|---|---|
| 无 sandbox | 通过 |
sandbox="allow-scripts" | 阻止 |
sandbox="" (最严) | 阻止 |
Embed 代码
此代码使用专用嵌入页面。粘贴到您的服务后检查渲染或拦截行为。
<iframe src="https://xss-playground.com/embed/auto-download?lang=zh" title="XSS Playground - 自动下载触发" width="600" height="420" loading="lazy" referrerpolicy="strict-origin-when-cross-origin"></iframe>
执行
// 无日志
说明
- 现代浏览器会限制没有用户手势的重复下载,但第一次通常可能通过。在可信页面中突然下载陌生文件,本身就可能成为钓鱼流程的触发点。
- 使用
sandbox="allow-scripts"时 a.click() 可能可用,但由a.download驱动的下载通常需要allow-downloads才能通过。