从技术上讲，弹出窗口不会询问您是否真的要下载文件；当您单击触发下载的链接时，您已经做出了该决定。弹出窗口询问您在文件完全下载后 Firefox 应该如何处理该文件。

潜在的恶意文件可能是一个安全问题。文件系统通常将文件存储为字节串，因此名义上不受文件内容的影响；但是现代操作系统并不满足于将文件作为文件处理。例如，如果您打开文件资源管理器以查看存储下载文件的目录，并且文件的名称以“.jpg”或“.png”结尾，则文件资源管理器将尝试解释文件内容自动作为图片，计算并显示该图片的缩微图。JPEG 或 PNG 支持库中的任何安全漏洞都可能被恶意文件利用，并且不需要对文件进行任何“打开点击”，只需打开目录即可。

网络是一个严酷的地方。

要禁用它，只需在地址栏中写入about:config并搜索network.prefetch-next。

将此设置为 false 并且不应发生预下载。- 这在 Ubuntu 或 Windows 7 上的 18.0.2 上不起作用，尽管这是我在网上找到的唯一方法。我尝试了各种其他设置，但没有任何效果。似乎无法禁用此行为。

假设该文件包含恶意软件，则在预下载完成后，您可能会收到防病毒软件的警报。

只要你不打开文件，你应该是安全的。如果您单击取消，Firefox 只会删除该文件。

当然，总有可能与某个漏洞（在浏览器中，在索引软件中等）相结合，可以构建利用漏洞，但我认为这不太可能。

我可以想象这成为安全问题的某些条件：

• 浏览器下载的文件会触发文件浏览器中的漏洞，如WMF漏洞
• 病毒扫描程序可能会开始扫描部分下载的文件，并且可能会触发扫描程序中的漏洞。Sophos 最近有一些负面新闻。
• 一个高度可压缩的大文件会非常快速地下载并且可能会耗尽所有驱动器空间。

Firefox 不是“预下载”。您选择通过在菜单中选择“将链接另存为”来开始下载，或者左键单击内容类型没有内部或外部处理程序的链接。Firefox 开始下载后，它会提示您输入保存位置。只要您没有输入该位置，它就会将文件下载到临时目录（取决于平台），使用服务器提供的默认文件名加.part后缀或随机生成的文件名（我认为这取决于在版本上，也许在平台上也是如此）。

Firefox需要在提示您输入文件名之前开始下载，因为默认文件名可以由服务器提供：原始链接可能是重定向（因此Firefox需要启动连接并读取响应代码，并且可能有标头中的文件名Content-Dispotition（因此对于 200 响应，Firefox 需要读取标头）。

这里没有安全风险。当您在浏览器中单击某些内容时，预计浏览器将建立连接并下载该链接处的内容。当然，可能存在安全问题（例如，内容可能会触发可利用的浏览器漏洞），但这是您首先使用浏览器所承担的风险。要让浏览器中的每一次点击都会弹出一个“你确定吗？” 对话框将是一个可用性噩梦，没有任何安全优势，因为无论如何您都会一直单击“是”。

好的，Firefox可以在标题之后暂停下载。但这不会有任何有用的目的（除了不利于性能和可用性）。毕竟，漏洞可能在标题中。