javascript - 为什么在 JS 中写入剪贴板被认为是安全漏洞？

Question

目前似乎没有纯 JavaScript 方法可以使用大多数现代浏览器访问系统剪贴板，Internet Explorer 是一个异常(exception)。在许多其他 Stack Overflow 问题(例如 Clipboard access using Javascript - sans Flash?)中，解释说此限制是一种有意的安全措施，以防止网站从剪贴板读取密码或其他敏感数据。

虽然从剪贴板读取显然会带来巨大的安全风险，但我不清楚为什么写入到剪贴板会有风险。浏览器通过拒绝 JS 将数据复制到剪贴板的能力来防止什么情况(如果有的话)？

Answer 1

写入剪贴板是恶意网站(或网站内运行的其他代码，例如基于 Flash 的广告)诱骗用户传播恶意软件的一种方式。这发生在几年前，基于 Flash 的广告将恶意软件 URL 复制到剪贴板，希望用户在打算粘贴其他内容时粘贴它，从而污染 Facebook 帖子、论坛和电子邮件等内容。您可以粘贴指向某些偷渡式恶意软件的链接，而不是指向蒂莉阿姨的猫的照片的链接。通常这些是“您已感染病毒，请支付 50 美元购买删除软件”的假冒防病毒诈骗。我对此做了一些研究，因为我的很多 ClipMate 客户都在问为什么这些讨厌的 URL 突然出现在 ClipMate 中。在研究期间，我在 MSNBC 和 DIGG 上受到了基于 Flash 的广告的攻击。剪贴板随后在 Flash 10 中被锁定。您可以在此处阅读有关我的传奇的更多信息:http://www.clipboardextender.com/defective-apps/clipboard-virus-not-exactly-but-still-dangerous

我希望 JavaScript 限制是为了防止类似的事情发生。