好吧,在 Facebook 上,他们似乎有一个阻止你加载iframe他们网站的块。
当您这样做时,他们会锁定其网站示例的完整功能。
我只是想知道是否有人知道您如何绕过这个?
问问题
4384 次
2 回答
5
如果他们不阻止这一点,攻击者可以将 Facebook 页面加载到一个透明的 iframe 中,并在其下方放置一些有趣的东西。让我们假设受害者已经登录到 facebook,然后访问了攻击者的网站(一段时间后,在另一个选项卡中)。
受害者将点击攻击者网站上的某些内容。但实际上它是点击透明 iframe 并在 facebook 网站上触发一些操作。浏览器当然会将会话 cookie 发送到 Facebook,Facebook 会看到登录用户的合法操作。
维基百科有一篇关于 Clickjacking 的文章:http ://en.wikipedia.org/wiki/Clickjacking
可以使用http://www.webmasterworld.com/webmaster/4022867.htm中描述的非官方 X-Frame-Option http 标头来防止这种攻击 不幸的是,并非所有浏览器都支持它,因此也需要一个破帧 java 脚本.
于 2010-07-18T00:18:59.930 回答
4
如果你能做到这一点,Facebook 将面临严重的安全威胁。
我说算了,就算找到方法,facebook也会很快封杀,然后方法就失效了。
除非,您正在做一些顽皮的事情,而您只需要现在可以使用的东西。
于 2010-07-17T23:45:45.660 回答