1。弹出窗口的安全风险究竟是什么?
新浏览器提供阻止窗口弹出窗口的设置(在阻止时,具有活动弹出窗口的站点向用户显示消息)。弹出窗口的安全风险究竟是什么?如果允许弹出窗口可以执行危险的操作,那么主窗口也可以。情况并非如此。我想我不知道窗口弹出窗口的一些特殊功能。
2。弹出窗口的任何特殊功能?
以HDFC bank netbanking site为例。整个网络银行会话在新窗口弹出窗口中发生,用户既不手动编辑URL也不在主浏览器窗口中粘贴URL。这是行不通的。此功能是否需要弹出窗口?它是否提高了安全性? (问,因为这个站点中的所有内容都围绕安全性 - 所以他们也必须这样做也是出于某种原因)。为什么否则他们会在弹出窗口中实现整个网上银行?
第3。是否可以覆盖浏览器的弹出窗口阻止设置
最后,即使在浏览器设置弹出窗口被阻止时,HDFC站点也会成功显示弹出窗口。那么,他们是如何做到的呢?这是浏览器破解吗?
要看到这个 -
您可以验证即使在浏览器设置中启用了弹出窗口/弹出窗口阻止程序,此站点也能够显示弹出窗口。
this question的答案表示,如果在浏览器设置中阻止弹出窗口,则无法显示弹出窗口。
解决
结合Pointy的解决方案和评论:
<a onclick="displayPopup();" href="#">
Click here for a popup - this will appear even if popups are blocked in browser settings.
</a>
这是fiddle演示相同的内容。
答案 0 :(得分:4)
弹出窗口的“安全”风险是:
弹出窗口是一种值得注意的“网络钓鱼”技术。恶意网站可以使用弹出窗口让用户相信来自受信任网站的重要邮件已经发送,并欺骗这些人点击某个恶意软件URL(或者甚至只是点击本身可能会利用错误)。是的,该网站的主页也可以这样做,但精心设计的弹出窗口可能会分散用户注意力,并且可能无法直接与恶意主页关联。
Popups被许多令人讨厌的网站利用,作为一种“陷阱”用户并基本上强迫广告展示等的方式。在这方面,问题的安全方面实际上是用户对他们的控制权的安全性自己的电脑和他们的浏览欲望。
现代浏览器在从显式用户操作触发的事件循环中启动时,将允许弹出窗口。因此,如果用户点击“帮助我”时,在单独的窗口中为您的网站打开类似“帮助”部分的内容,那就完全可以了(忽略网页设计最佳做法)按钮。此外,网站使用页面内的“伪窗口”在不幸的访问者面前堵塞内容变得非常普遍,而且浏览器实际上无法阻止它。
编辑 - 关于您的其他要点:
为什么网站会将像银行业务这样的“网络应用”放入单独的弹出式窗口中?
我认为大多数使用单独浏览器窗口的网站(银行,保险公司和其他金融机构似乎都非常喜欢这个)可能会这样做,以便他们可以尝试控制浏览器“环绕”他们的应用程序。特别是,他们似乎喜欢摆脱“后退”按钮作为简化设计的方法。然而,浏览器窗口是一个浏览器窗口,使用window.open()创建的窗口与任何其他浏览器窗口没有太大区别。
是否可以覆盖弹出窗口拦截器设置?
没有。那个HDFC银行的例子很好。当您单击“登录”按钮时,它们的弹出窗口会出现 。因为“点击”是一个明确的用户启动的操作(不像,例如,页面加载),浏览器将允许弹出窗口。任何网站都是如此;银行不需要为此工作做任何特别的事情。您通常可以通过“单击”事件处理程序执行弹出窗口,但是您无法从XHR的状态更改处理程序中启动弹出窗口。
答案 1 :(得分:1)
我认为问题在于弹出窗口经常被用于广告,并且它们会使用户烦恼。你应该尽可能避免弹出窗口,因为弹出窗口拦截器有问题。我自己从未听说过任何与弹出窗口有关的实际安全风险