網民的網絡賬戶被盜，可能是被“釣魚”了

傳統的釣魚網站通常會申請與被冒充網站類似的域名，或者直接使用三級、四級域名進行冒充等。

釣魚網址一般通過電子郵件、短信、聊天工具等傳輸系統發送給目標群體。 因此，這些傳輸系統的運營商將義不容辭地采取措施，盡可能地檢測并攔截那些釣魚URL。 即使他們不這樣做，現代所有瀏覽器也會這樣做。 最常見的釣魚網站檢測技術是維護釣魚網站域名黑名單，或使用其他組織共享的黑名單（例如Google的Safe Browsing）。 一旦釣魚網站被加入到這個黑名單中，其所有者釣魚成功的概率就會大大降低。

我怎樣才能跳過這些測試？ 如何在不使用常規 URL 的情況下托管網頁？ 于是有人想到了使用Data URI。 僅在2017年，我就看到有兩家網絡安全公司發表文章，描述了兩個利用Data URI進行網絡釣魚的真實案例，一個針對Gmail，一個針對Yahoo Mail。 我做了一個仿淘寶登錄頁面的釣魚頁面demo。 你可以嘗試一下。

使用Data URI，整個網頁的內容可以放在這個URL中。 由于Data URI根本沒有域名的概念，黑名單攔截技術對其無效。 此外，還有一個好處，那就是你可以將任何你想要模擬的網站的 URL 放在 Data URI 的頭部，如下所示：

在這個真實的 Gmail 登錄 URL 后面是一系列比網絡釣魚者的屏幕還要寬的空格。 這些空格后面隱藏的是真正的網頁源代碼：

普通網友很容易忽略“data:text/html,”的多余字符。 有了這個加成，釣魚者的釣魚成功率就更高了，而且不用花錢去換域名了。

為此，從56開始，Chrome將地址欄左側的Data URI標記為“不安全”URL：

這樣可能會減少一些釣魚事件的發生，但考慮到有些網友根本沒有看地址欄的習慣（特別是現在有些瀏覽器故意弱化地址欄），打開網頁時沒有地址欄在移動端的WebView中，Chrome從60開始，采取了更徹底的做法：屏蔽從頁面打開的Data URI URL（對應的行為是在地址欄中按Enter鍵打開Data URI URL）。

例如，這個鏈接：

<a href="data:text/html,foo">

如果點擊這個鏈接，會直接報錯，Not allowed to navigator topframe to data URL:

但右鍵菜單中的“在新選項卡中打開鏈接”或“在新窗口中打開鏈接”不受影響。 另外，本次將屏蔽以下跳轉方式（幾年前屏蔽了30x跳轉）：

1.在html中添加

2.在響應頭中添加refresh:0;url=data:text/html,foo

3、JS中執行window.open("data:text/html,foo")

4、JS中執行location.href = "data:text/html,foo"

所有允許頁面跳轉到Data URI的方法都將被阻塞，并且open()方法打開的新標簽頁將被強制替換為about:blank。 事實上，Chrome的這些攔截措施之前已經應用于file:、chrome:等協議中。

上述右鍵菜單中的各種操作除外：

1.

2、當指定的MIME觸發瀏覽器下載邏輯，如open("data:application/zip,foo")

3.直接在地址欄輸入Data URI并按Enter鍵

當然，也有頂級頁面 URL 中不使用 Data URI 的情況，例如

的 src 屬性、 的 src 屬性、CSS 中的 url() 參數等不受影響。

在Chrome 60之前的Chrome 57、58、59三個版本中，當打開Data URI頁面時，會有警告消息，提醒開發者提前遷移：

Chrome人做過統計，說從非Data URI頁面跳轉到Data URI頁面的概率小于萬分之五。 如果您的網站恰好使用這種前端生成頁面的方式，您可以嘗試遷移到后端生成。

Tags：釣魚 屏蔽 域名 頁面 網民