Google Chrome强制下载“f.txt”文件

Question

更新到Chrome 40.0.2214.111后，当我访问某些与Google相关的网站（例如http://youtube.com并在视频播放之前收到广告）时，浏览器会下载名为f.txt的文件。< / p>

我没有安装任何adblock插件。

f.txt包含几行JavaScript ......以：

开头

if (!window.mraid) {document.write('\x3cdiv class="GoogleActiveViewClass" ' +'id="DfaVisibilityIdentifier_3851468350"\x3e');}document.write('\x3ca target\x3d\x22_blank\x22 href\x3d\x22https://adclick.g.doubleclick.net/pcs/click?xai\x3dAKAOjsvDhmmoi2r124JkMyiBGALWfUlTX-zFA1gEdFeZDgdS3JKiEDPl3iIYGtj9Tv2yTJtASqD6S-yqbuNQH5u6fXm4rThyCZ0plv9SXM-UPKJgH4KSS08c97Eim4i45ewgN9OoG3E_ 

在Google上查找问题时，其他人也遇到了同样的问题，但我没有找到任何解决方案或理解为什么会发生这种情况。我认为这是一个与content-disposition相关的错误，其中包含一些在页面上加载的JS文件，并将在未来的补丁中清除。

想知道是否有其他人有经验/见解。

Answer 1

这个问题似乎引起了持续的惊愕，所以我会尝试给出一个比之前发布的答案更清晰的答案，这些答案只包含部分提示，说明发生了什么。

• 2014年夏天的某个时候，IT安全工程师 Michele Spagnuolo （显然在Google苏黎世工作）开发了一个名为Rosetta Flash的概念验证漏洞利用和支持工具，展示了黑客以某种方式从远程域运行恶意Flash SWF文件的方式，这种方式可以让浏览器认为它来自用户当前正在浏览的同一个域。这允许绕过同源策略＆＃34;并且可以允许黑客获得各种攻击。您可以在此处阅读详细信息：https://miki.it/blog/2014/7/8/abusing-jsonp-with-rosetta-flash/
  • 已知受影响的浏览器：Chrome，IE
  • 可能不受影响的浏览器：Firefox
• Adob​​e在过去一年中发布了至少5个不同的修复程序，同时尝试全面修复此漏洞，但各个主要网站也在早期引入了自己的修复程序，以防止其用户群的大量漏洞。这些网站包括：Google，Youtube，Facebook，Github等。这些网站所有者实施的临时缓解的一个组成部分是强制从JSONP端点返回HTTP标头Content-Disposition: attachment; filename=f.txt。这会让浏览器自动下载您没有请求的名为f.txt的文件，但这比您的浏览器自动运行可能的恶意Flash文件要好得多。
• 总之，当您自动下载此文件时，您访问的网站并不坏或恶意，但是某些在其网页上提供内容的域名（通常是广告）内容中包含此内容。请注意，此问题本质上是随机和间歇性的，因为即使连续访问相同的网页也会产生不同的广告内容。例如，广告域ad.doubleclick.net可能提供数十万个不同的广告，只有一小部分可能包含恶意内容。这就是为什么在线的各个用户都认为他们修复了这个问题，或者通过卸载这个程序或运行该扫描以某种方式影响它，实际上它是完全不相关的。 f.txt下载只是意味着您受到此漏洞的最近潜在攻击的保护，您应该没有理由相信您受到任何方式的侵害。
• 我知道您可以阻止将来再次下载此f.txt文件的唯一方法是阻止似乎正在为此漏洞提供服务的最常见域名。我在下面列出了一些涉及各种帖子的简短列表。如果您想阻止这些域触及您的计算机，您可以将它们添加到防火墙，或者您也可以使用此链接第二部分中描述的HOSTS文件技术：http://www.chromefans.org/chrome-tutorial/how-to-block-a-website-in-google-chrome.htm
• 您可以阻止的域名的简短列表（绝不是一个全面的列表）。其中大多数与广告软件和恶意软件密切相关：
  • ad.doubleclick.net
  • adclick.g.doubleclick.net
  • secure-us.imrworldwide.com
  • d.turn.com
  • ad.turn.com
  • secure.insightexpressai.com
  • core.insightexpressai.com

Answer 2

我遇到了同样的问题，相同版本的Chrome虽然与此问题无关。通过开发人员控制台，我捕获了生成此请求的请求实例，这是ad.doubleclick.net提供的API调用。具体而言，此资源会返回Content-Disposition: attachment; filename="f.txt"的响应。

我碰巧捕获的网址是https://ad.doubleclick.net/adj/N7412.226578.VEVO/B8463950.115078190;sz=300x60...

Per curl：

$ curl -I 'https://ad.doubleclick.net/adj/N7412.226578.VEVO/B8463950.115078190;sz=300x60;click=https://2975c.v.fwmrm.net/ad/l/1?s=b035&n=10613%3B40185%3B375600%3B383270&t=1424475157058697012&f=&r=40185&adid=9201685&reid=3674011&arid=0&auid=&cn=defaultClick&et=c&_cc=&tpos=&sr=0&cr=;ord=435266097?'
HTTP/1.1 200 OK
P3P: policyref="https://googleads.g.doubleclick.net/pagead/gcn_p3p_.xml", CP="CURa ADMa DEVa TAIo PSAo PSDo OUR IND UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"
Date: Fri, 20 Feb 2015 23:35:38 GMT
Pragma: no-cache
Expires: Fri, 01 Jan 1990 00:00:00 GMT
Cache-Control: no-cache, must-revalidate
Content-Type: text/javascript; charset=ISO-8859-1
X-Content-Type-Options: nosniff
Content-Disposition: attachment; filename="f.txt"
Server: cafe
X-XSS-Protection: 1; mode=block
Set-Cookie: test_cookie=CheckForPermission; expires=Fri, 20-Feb-2015 23:50:38 GMT; path=/; domain=.doubleclick.net
Alternate-Protocol: 443:quic,p=0.08
Transfer-Encoding: chunked
Accept-Ranges: none
Vary: Accept-Encoding

Answer 3

仅供参考，在阅读完这个帖子之后，我看了一下我安装的程序，发现不知何故，升级到Windows 10后不久（可能/可能没有关联），安装了ASK搜索应用程序以及Chrome扩展程序（ Windows很友善，提醒要检查一下）。自删除以来，我没有f.txt问题。

Answer 4

这不仅会在计算机上发生在Android上。当我访问的网站开始无休止地重定向时，我正在使用Kiwi浏览，因此我切断了网络访问权限以将其关闭，并发现我的手机已在下载的文件中添加了f.txt的内容。

已删除但没有打开。

Answer 5

似乎与https://groups.google.com/forum/#!msg/google-caja-discuss/ite6K5c8mqs/Ayqw72XJ9G8J有关。

所谓的＆＃34; Rosetta Flash＆＃34;漏洞是允许任意的 但是在JSONP响应开头的类似标识符的文本是 足以让它被解释为在其中执行的Flash文件 起源。有关更多信息，请参阅 http://miki.it/blog/2014/7/8/abusing-jsonp-with-rosetta-flash/

现在来自代理servlet的JSONP响应： *以＆＃34; / ** /＆＃34;为前缀，仍允许它们作为JSONP执行    但删除请求者对响应的第一个字节的控制。 *有响应标题内容 - 处置：附件。