Microsoft的Edge网络浏览器为用户提供了一个秘密的Flash白名单，该白名单允许Flash内容运行，而无需单击即可在包​​含的站点上发挥保护作用。

Microsoft Edge是Microsoft Windows 10操作系统的默认浏览器，本机支持Adobe Flash。Flash在浏览器中设置为点击播放，用户可以在浏览器的设置中完全禁用Flash。

Microsoft会在公司的每月补丁日定期发布Flash更新，以修复Flash中发现的安全问题。

它来到光最近，微软实现了一个闪光的白名单，允许Flash内容，而无需用户交互的58个不同的域中运行。该列表中的网站包括Deezer，Facebook，MSN门户，Yahoo或QQ，但也不一定像西班牙发廊这样的列表中的条目。

边缘闪光灯禁用

在Google工程师于2018年底向公司提交错误报告后，微软将本月补丁周二更新中的列表限制为仅两个Facebook条目，并在这些网站上强制使用HTTPS。

微软对此列表进行了模糊处理，谷歌工程师不得不使用已知和流行域名的字典来破解它。

根据错误报告，如果Flash内容托管在列入白名单的域之一中，或者Flash元素大于398x298像素，则允许加载Flash内容。

攻击者可能利用此列表来绕过单击以完全播放策略，或者在某些包含的站点上使用XSS漏洞。Microsoft Edge尊重Flash单击以在所有其他站点上播放策略。用户需要允许在非列入白名单的站点上的Microsoft Edge中执行Flash内容。

目前尚不清楚微软为什么要添加白名单。这样做可能会改善某些站点上的兼容性。尽管在仍托管Flash内容的主要网站(如Flashbook)上讲得通，但不清楚Microsoft用于创建列表的参数。

该列表列出了一些托管Flash游戏的街机网站，但未列出同样托管Flash游戏的同样受欢迎的街机网站。令人困惑的是，有些站点在列表中，而其他站点不在列表中。可能添加了一些站点

我们联系Microsoft征求意见，但尚未收到回复。如果有更多信息，我们将更新本文。

结束语

考虑到Microsoft永远不会强调Edge的安全功能，Microsoft会将Flash白名单添加到其Edge浏览器中令人困惑。从安全的角度来看，即使是在受欢迎的网站上，允许网站未经用户许可运行Flash内容也存在很大问题。

不仅从安全角度来看，而且在涉及信任时，放弃控制权而不向用户透露事实是一个很大的问题。