服务器上浏览器如何阻止禁用HTMLping

我们可以注意到，请求中的用户代理与中国聊天应用微信(WeChat)有关。微信使用默认移动浏览器打开消息链接。QQ浏览器在中国很受欢迎，属于腾讯，许多用户会选择它作为智能手机的默认浏览器。

Imperva的理论是，攻击者利用社会工程和恶意广告引导用户找到承载这些脚本的页面。有可能欺骗毫无戒心的微信用户打开他们的浏览器：

1.攻击者向合法网站注入恶意广告

2.利用iframe中的恶意广告链接到合法网站后，将发布到大型微信群聊。

3.合法用户通过恶意广告访问网站

4.执行JavaScript代码以创建包含用户单击的"ping"属性的链接

5.生成HTTPping请求，并将它们从合法用户的浏览器发送到目标域中

浏览器阻止禁用HTMLping

好消息是德迅也制作了这种攻击的特征库，它可以智能地拦截超链接审计ping攻击；通过在浏览器中禁用超链接审计，很容易防止大多数浏览器被用于超链接审核ping攻击。

不幸的是，Chrome、Edge、Safari和Opera等浏览器默认启用超链接审计，但Firefox和Brave除外，它们大多允许您禁用超链接审核。但这些浏览器的未来版本可能根本不允许用户禁用超链接审核。无法禁用超级链接审核不仅是隐私风险，也是许多人担心的原因，但新的研究显示，超链接审计比以前所理解的要糟糕得多。

既然我们知道这个特性被用于分布式攻击，用户可以比以往任何时候都禁用它。目前默认禁用超级链接审计并继续提供禁用方法的浏览器只有Firefox和Brave。