微軟Edge瀏覽器有個白名單，加載Flash Player內容不會問你

2月21日消息 據Ghacks消息，微軟Edge瀏覽器使用了一個秘密的Flash Player白名單，支持網站默認加載Flash內容，而無需經過用戶同意。

作為Windows 10係統的默認瀏覽器，Edge本身支持Adobe Flash，用戶在瀏覽器中單擊詢問對話框即可播放，也可以完全禁用Flash。最近曝光的消息顯示，微軟為Edge瀏覽器設置了一個白名單，58個域名上的Flash內容可以無需詢問用戶，自行加載。

這些網站大部分是門戶網站，比如Facebook、MSN、QQ空間、4399、嗶哩嗶哩等。微軟對該列表進行了模糊處理，穀歌工程師隻能使用已知的、流行的域名字典來破解。

▲白名單中的部分域名

根據報道，若Flash內容托管在其中一個列入白名單的域中，或者其Flash元素大於398x298像素，則允許加載Flash內容。報道稱，這個白名單的危險之處在於，攻擊者可以利用其列表，完全繞過點擊播放策略，或在某些包含在其中的網站上使用XSS漏洞。

Adobe已經計劃，在2020年底停止對Flash Player最終支持，並不再分發該軟件。雖然Flash可繼續使用，但它仍然是計算機麵臨的最大安全風險之一。據報道，微軟創建此列表的參數標準尚不清楚，微軟也還沒有對此事進行回應。