【发布时间】:2010-07-17 23:31:40
【问题描述】:
【问题讨论】:
【发布时间】:2010-07-17 23:31:40
【问题描述】:
如果他们不阻止这一点,攻击者可以将 Facebook 页面加载到一个透明的 iframe 中,并在其下方放置一些有趣的东西。假设受害者已登录 facebook,然后访问攻击者的网站(一段时间后,在另一个选项卡中)。
受害者将点击攻击者网站上的某些内容。但实际上它是点击透明 iframe 并在 facebook 网站上触发一些操作。浏览器当然会将会话 cookie 发送到 Facebook,Facebook 会看到登录用户的合法操作。
维基百科有一篇关于点击劫持的文章:http://en.wikipedia.org/wiki/Clickjacking
可以使用非官方的 X-Frame-Option http 标头来防止这种攻击,如上所述 http://www.webmasterworld.com/webmaster/4022867.htm 不幸的是,并非所有浏览器都支持它,因此还需要一个破帧 java 脚本。
【讨论】:
如果你能做到这一点,Facebook 将面临严重的安全威胁。
我说算了,就算找到方法,facebook也会很快封杀,然后方法就失效了。
除非,你正在做一些顽皮的事情,而你只需要现在可以工作的东西。
【讨论】:
-
我很想知道 Facebook 允许这样做会面临什么样的安全威胁。你能详细说明一下吗?