我听到有人提到理论上可以在内容之上放置一个不可见的iframe,并接收某人想要放入表单的输入。这怎么可能而且不会引起怀疑?这吓到我了......
答案 0 :(得分:6)
是的,这是可能的!它被称为 clickjacking ,并且确实非常真实。请查看此信息以获取更多信息:http://en.wikipedia.org/wiki/Clickjacking
Google的Michal Zalewski有一个理论上的例子(来源:Page 1,Page 2):
域A中的恶意页面可能 创建一个指向的IFRAME 在域B中的应用程序 用户目前已通过身份验证 饼干,“Zalewski在一条消息中说 星期四到邮件列表。 “该 然后,顶级页面可以覆盖部分 与其他视觉的IFRAME 元素无缝隐藏一切 但域B中有一个UI按钮, 例如'删除所有项目','点击进入 将Bob添加为朋友,等等 提供[它]自己的,误导性的UI 意味着按钮服务于 不同的目的,是一部分 站点A,邀请用户单击它。
答案 1 :(得分:1)
如果不引起怀疑,就无法做到这一点,某人会一直注意到。如果您不是标准用户,我建议您尝试下载noscript(firefox插件)。它可以防止任何不在您的个人白名单上的网站运行javascript。这应该可以减轻你的后顾之忧!我希望!我知道这让我感觉更好。
答案 2 :(得分:0)
在可能性领域,有许多愚蠢的想法。 : - )
理论上,您可以劫持表单并放置一个捕获输入的区域。这不是一个简单的练习,因为您需要模仿表单或让用户步骤在浏览器的安全框之外。以类似的形式进行网络钓鱼比这更容易。
我看到有人提到clickjacking,它劫持了click事件。总的来说,这与表单捕获不同,虽然它可以在填写表单时用于覆盖按钮。再一次,它类似于网络钓鱼攻击,因为您正在访问他们的网站。如果没有这种误导,他们就无法注入使这项工作成为必要的JavaScript。
你真正关心的是什么?有人可以点击你的网站并在没有其他网站的情况下被劫持?不太可能。人们可以被愚弄。那么,PT Barnum告诉我们每天都有一个人出生。