【发布时间】:2014-01-11 04:36:41
【问题描述】:
假设我拥有一个社交媒体网站。我想实现一个 iframe,它允许用户通过 3rd 方网站注册我的网站——很像 facebook 的“like this”iframe,但用于注册。
(顺便说一句,这只是一个假设的例子,我对以这种方式和其他方式在 3rd 方网站上使用 iframe 的安全隐患更感兴趣)。
为了做到这一点,我该如何防止以下情况:
- 第 3 方网站包含指向我网站注册流程的 iframe
- 他们将文本框放置在 iframe 上方的自己网站上,模仿我的注册表单的“电子邮件/密码”字段
- 然后,当人们尝试注册时,他们会收集用户电子邮件和密码。
我能想到的可以缓解这种情况的一件事是在 iframe 中随机定位元素。
谁能想到任何其他方法来针对这种攻击?
【问题讨论】:
-
这就是网络钓鱼。你根本无法减轻它;网站可以在不涉及您的情况下欺骗您的登录页面。
-
让您的“登录页面”仅包含一个链接。单击链接时,将打开一个新页面,在该页面中完成实际登录。但是,没有什么能阻止恶意网站在他们自己的服务器上重新创建您的登录页面。
标签: javascript html security web