微软Edge浏览器有个白名单，加载Flash Player内容不会问你

2月21日消息 据Ghacks消息，微软Edge浏览器使用了一个秘密的Flash Player白名单，支持网站默认加载Flash内容，而无需经过用户同意。

作为Windows 10系统的默认浏览器，Edge本身支持Adobe Flash，用户在浏览器中单击询问对话框即可播放，也可以完全禁用Flash。最近曝光的消息显示，微软为Edge浏览器设置了一个白名单，58个域名上的Flash内容可以无需询问用户，自行加载。

这些网站大部分是门户网站，比如Facebook、MSN、QQ空间、4399、哔哩哔哩等。微软对该列表进行了模糊处理，谷歌工程师只能使用已知的、流行的域名字典来破解。

▲白名单中的部分域名

根据报道，若Flash内容托管在其中一个列入白名单的域中，或者其Flash元素大于398x298像素，则允许加载Flash内容。报道称，这个白名单的危险之处在于，攻击者可以利用其列表，完全绕过点击播放策略，或在某些包含在其中的网站上使用XSS漏洞。

Adobe已经计划，在2020年底停止对Flash Player最终支持，并不再分发该软件。虽然Flash可继续使用，但它仍然是计算机面临的最大安全风险之一。据报道，微软创建此列表的参数标准尚不清楚，微软也还没有对此事进行回应。