Detect and crash Chromium bots with one weird trick (bots hate it)
a year ago
- #javascript
- #chromium-bug
- #bot-detection
- 一段JavaScript代码片段可能导致Puppeteer和Playwright使用的无头Chromium浏览器崩溃。
- 该漏洞涉及在iframe上调用`contentWindow.open`并传入特定参数,从而引发崩溃。
- 虽然可被武器化用于机器人检测,但存在明显缺陷。
- 这种检测方式具有侵入性,会降低用户体验,且缺乏服务端元数据支持。
- 机器人程序只需重写`open()`方法即可绕过,使得检测信号变得脆弱。
- 最佳的机器人检测信号应当静默、强健,并将检测逻辑与响应机制分离。