答案 0 :(得分:5)
如果他们没有阻止这种情况,攻击者可以将Facebook页面加载到透明的iframe中并在其下面添加一些有趣的内容。让我们知道受害者已登录到Facebook然后访问攻击者的网站(过了一段时间后,在另一个标签中)。
受害者将点击攻击者网站上的内容。但实际上它是点击透明的iframe并在facebook网站上触发一些动作。浏览器当然会将会话cookie发送到Facebook,Facebook会看到登录用户的合法操作。
维基百科有一篇关于Clickjacking的文章:http://en.wikipedia.org/wiki/Clickjacking
可以使用非官方X-Frame-Option http标头来防止此攻击,如上所述 http://www.webmasterworld.com/webmaster/4022867.htm不幸的是并非所有浏览器都支持它,因此也需要破坏java脚本的框架。
答案 1 :(得分:4)
如果你能做到这一点,Facebook将面临严重的安全威胁。
我说忘掉它,即使找到方法,facebook也会很快阻止它,然后方法就会失败。
除非你做一些顽皮的事情,否则你只需要现在有用的东西。