在 Facebook 上,他们似乎有一个阻止你加载iframe
他们的网站。
当您这样做时,他们会锁定其网站的完整功能example.
我只是想知道是否有人知道如何绕过这个?
如果他们不阻止这种情况,攻击者就可以将 Facebook 页面加载到透明 iframe 中,并在其下方放置一些有趣的内容。假设受害者已登录 Facebook,然后访问攻击者的网站(一段时间后,在另一个选项卡中)。
受害者将点击攻击者网站上的某些内容。但实际上它是点击透明的 iframe 并触发 facebook 网站上的一些操作。浏览器当然会将会话 cookie 发送到 Facebook,并且 Facebook 会看到登录用户的合法操作。
维基百科有一篇关于点击劫持的文章:http://en.wikipedia.org/wiki/Clickjacking
可以使用非官方的 X-Frame-Option http 标头来防止这种攻击,如上所述http://www.webmasterworld.com/webmaster/4022867.htm不幸的是,并非所有浏览器都支持它,因此还需要一个打破框架的 java 脚本。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)