Google Chrome强制下载"f.txt"文件

Question

更新到Chrome 40.0.2214.111后,当我访问某些与Google相关的网站(例如http://youtube.com并在视频播放前看到广告)时,浏览器会下载名为的文件f.txt.

我没有安装任何adblock插件.

f.txt 包含几行JavaScript ...开头:

if (!window.mraid) {document.write('\x3cdiv class="GoogleActiveViewClass" ' +'id="DfaVisibilityIdentifier_3851468350"\x3e');}document.write('\x3ca target\x3d\x22_blank\x22 href\x3d\x22https://adclick.g.doubleclick.net/pcs/click?xai\x3dAKAOjsvDhmmoi2r124JkMyiBGALWfUlTX-zFA1gEdFeZDgdS3JKiEDPl3iIYGtj9Tv2yTJtASqD6S-yqbuNQH5u6fXm4rThyCZ0plv9SXM-UPKJgH4KSS08c97Eim4i45ewgN9OoG3E_ 

在Google上查找问题时,其他人也遇到过相同的问题,但我没有找到任何解决方案或理解为什么会发生这种情况.我认为这是content-disposition与页面上加载的一些JS文件相关的错误,并将在未来的补丁中清除.

想知道是否有其他人有经验/见解.

Answer 1

这个问题似乎引起了持续的惊愕,因此我将尝试给出一个比之前发布的答案更清晰的答案,这些答案仅包含有关正在发生的事情的部分提示.

• 在2014年夏天的某个时候,IT安全工程师Michele Spagnuolo(显然是在Google苏黎世工作)开发了一个概念验证漏洞利用和支持工具Rosetta Flash,它为黑客提供了一种方法,可以让黑客从远程域运行恶意Flash SWF文件.浏览器认为它来自用户当前正在浏览的同一域的方式.这允许绕过"同源策略"并允许黑客获得各种漏洞.你可以在这里阅读详细信息:https://miki.it/blog/2014/7/8/abusing-jsonp-with-rosetta-flash/
  • 已知受影响的浏览器:Chrome,IE
  • 可能不受影响的浏览器:Firefox
• Adobe在过去一年中发布了至少5个不同的修复程序,同时尝试全面修复此漏洞,但各个主要网站也在早期引入了自己的修复程序,以防止其用户群的大量漏洞.这些网站包括:Google,Youtube,Facebook,Github等.这些网站所有者实施的临时缓解的一个组成部分是强制Content-Disposition: attachment; filename=f.txt从JSONP端点返回HTTP标头.这有一个让浏览器自动下载f.txt你没有请求的文件的烦恼- 但它远比你的浏览器自动运行可能的恶意Flash文件好.
• 总而言之,您在此文件自发下载时访问的网站并非恶意或恶意,但是某些在其网页上提供内容的域名(通常是广告)内容中包含此内容.请注意,此问题本质上是随机和间歇性的,因为即使连续访问相同的网页也会产生不同的广告内容.例如,广告域ad.doubleclick.net可能提供数十万个不同的广告,并且只有一小部分可能包含恶意内容.这就是为什么在线的各个用户都认为他们修复了这个问题,或者通过卸载这个程序或运行该扫描以某种方式影响它,实际上它是完全不相关的.该f.txt 下载只是意味着您受到此漏洞的最近潜在攻击的保护,您应该没有理由相信您以任何方式受到了攻击.
• 我知道您可以阻止此f.txt文件在将来再次下载的唯一方法是阻止似乎正在服务此漏洞的最常见域.我在下面列出了一些涉及各种帖子的简短列表.如果您想阻止这些域触及您的计算机,您可以将它们添加到防火墙,或者您也可以使用HOSTS此链接第二部分中描述的文件技术:http://www.chromefans.org/chrome-tutorial/如何对块-A-网站中,谷歌,chrome.htm
• 您可以阻止的域名的简短列表(绝不是一个全面的列表).其中大多数与广告软件和恶意软件密切相关:
  • ad.doubleclick.net
  • adclick.g.doubleclick.net
  • secure-us.imrworldwide.com
  • d.turn.com
  • ad.turn.com
  • secure.insightexpressai.com
  • core.insightexpressai.com

Answer 2

我遇到了同样的问题，尽管它与该问题无关，但 Chrome 版本相同。通过开发人员控制台，我捕获了生成此请求的一个实例，它是由ad.doubleclick.net. 具体来说，该资源返回带有 的响应Content-Disposition: attachment; filename="f.txt"。

我碰巧捕获的网址是https://ad.doubleclick.net/adj/N7412.226578.VEVO/B8463950.115078190;sz=300x60...

每卷曲：

$ curl -I 'https://ad.doubleclick.net/adj/N7412.226578.VEVO/B8463950.115078190;sz=300x60;click=https://2975c.v.fwmrm.net/ad/l/1?s=b035&n=10613%3B40185%3B375600%3B383270&t=1424475157058697012&f=&r=40185&adid=9201685&reid=3674011&arid=0&auid=&cn=defaultClick&et=c&_cc=&tpos=&sr=0&cr=;ord=435266097?'
HTTP/1.1 200 OK
P3P: policyref="https://googleads.g.doubleclick.net/pagead/gcn_p3p_.xml", CP="CURa ADMa DEVa TAIo PSAo PSDo OUR IND UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"
Date: Fri, 20 Feb 2015 23:35:38 GMT
Pragma: no-cache
Expires: Fri, 01 Jan 1990 00:00:00 GMT
Cache-Control: no-cache, must-revalidate
Content-Type: text/javascript; charset=ISO-8859-1
X-Content-Type-Options: nosniff
Content-Disposition: attachment; filename="f.txt"
Server: cafe
X-XSS-Protection: 1; mode=block
Set-Cookie: test_cookie=CheckForPermission; expires=Fri, 20-Feb-2015 23:50:38 GMT; path=/; domain=.doubleclick.net
Alternate-Protocol: 443:quic,p=0.08
Transfer-Encoding: chunked
Accept-Ranges: none
Vary: Accept-Encoding