现在有一个适用于Android浏览器的UXSS metasploit module,可以很好地防范。
一个这样的防御是使用X-Frame-Options并且另外能够知道没有对窗口的javascript引用。我的问题是,是否可以确定没有其他窗口保存对当前窗口对象的引用,因为它没有使用javascript打开。
此answer不相关,因为在这种情况下不存在与开启者的合作。
答案 0 :(得分:1)
我不认为这是可能的。
但是对于Firefox和Chrome,调用window.close()只会对使用Javascript打开的窗口产生影响。旧版本的MSIE(5,6)无论如何关闭窗口,我不知道更新的版本。