我注意到当我尝试通过reddit工具栏访问Stackoverflow时,我得到一个弹出窗口,上面写着“出于安全原因,不允许使用框架”。有关示例,请参阅here。
这些安全原因究竟是什么?
我意识到这可能是meta的一个问题,但它实际上更像是一个普通的网络安全问题,所以我在这里试一试。
感谢。
答案 0 :(得分:1)
您可以查看the story on that in here。
修改强>
好的,所以从链接中引用 框架的问题在于它是clickjacking 的第一步。这是如何完成的?你可以拥有一个看似无害的页面,链接上面有一个框架,其中有一个完全透明的框架,经过精心定位,这样当你点击页面的链接时,你将点击框架页面的链接或按钮。虽然您无法看到框架(由于完全透明),但您的点击次数将被捕获。这导致,当用户认为他只是在随机页面上导航时,他可能实际上正在改变他的推特状态,发送电子邮件,在Facebook上做某事,点击付费“是,请全部捐赠”按钮,。 ..想象力是极限。
答案 1 :(得分:1)
保护其用户免受点击攻击。简单来说,点击顶升就像这样:
如果一个邪恶的网站决定它将构建您的网站,您将被诬陷。期
错误。像stackoverflow这样实现的机制保护网站不被加载到另一个可能的恶意页面内。这样,该网站可以保护其用户免受点击攻击。
f就是这样,为什么要这样呢?此外,攻击的目标不一定是被框架的网站,它可以是任何网站。再说一次,为什么还要破坏框架?
该框架用于将“受害者”网站加载到试图诱骗用户的页面中。打破框架意味着该网站阻止了这些可能的点击顶升攻击。或者至少增加一层额外的安全性,因为这些“过滤器”也可以被绕过。
答案 2 :(得分:0)