5

1.弹窗的安全风险究竟是什么?
新浏览器提供了阻止窗口弹出窗口的设置(在阻止时,具有活动弹出窗口的站点向用户显示消息)。弹出窗口的安全风险到底是什么?如果允许弹出窗口可以执行一些危险的操作,那么主窗口也可以。是不是这样。我想我不知道弹出窗口的一些特殊功能。

2. 弹窗有什么特别之处吗?
HDFC 银行网上银行网站为例。整个网上银行会话发生在一个新的窗口弹出窗口中,用户既不手动编辑 URL 也不将 URL 粘贴到主浏览器窗口中。这没用。此功能是否需要弹出窗口?它提高了安全性吗?(询问是因为该站点中的所有内容都围绕安全性 - 所以他们这样做也一定是有原因的)。为什么否则他们会在弹出窗口上实施整个网络银行业务?

3. 是否可以覆盖浏览器的弹出窗口阻止设置
最后,即使在浏览器设置中弹出窗口被阻止时,HDFC 站点也会成功显示弹出窗口。那么,他们是如何做到的呢?那是浏览器黑客吗?
看到这个——

  • 访问http://hdfcbank.com/
  • 在“登录到您的帐户”部分下,选择“HDFC Bank NetBanking”并单击“登录”按钮。

您可以验证即使弹出窗口被阻止/在浏览器设置中启用了弹出窗口阻止程序,该站点也能够显示弹出窗口。

这个问题的答案说,如果它在浏览器设置中被阻止,则无法显示弹出窗口。

解决
了 Pointy 的解决方案和以下评论:

<a onclick="displayPopup();" href="#">
   Click here for a popup - this will appear even if popups are blocked in browser settings.
</a>

这是一个演示相同的小提琴。

4

2 回答 2

4

弹出窗口的“安全”风险是:

  • 弹出窗口是一种著名的“网络钓鱼”技术。恶意站点可以使用弹出窗口让用户相信来自受信任站点的重要消息已发送,并诱使这些人点击某些恶意软件 URL(或者甚至可能只是点击本身可能会利用漏洞)。是的,网站的主页也可以这样做,但是精心设计的弹出窗口可能会分散用户的注意力,并且可能不会直接与恶意主页相关联。

  • 弹出窗口被许多令人讨厌的网站用作“诱捕”用户并从本质上强制广告印象等的一种方式。在这方面,问题的安全方面实际上是用户对自己计算机的控制及其浏览欲望的安全性.

现代浏览器在从由显式用户操作触发的事件循环中启动时将允许弹出窗口。因此,如果在用户单击“帮助我!”时发生这种情况,那么在单独的窗口中为您的网站打开类似“帮助”部分的内容是完全可以的(忽略网页设计最佳实践)。按钮。此外,网站使用页内“伪窗口”在倒霉的访问者面前堵塞内容变得很普遍,而浏览器真的无法阻止这种情况。

编辑——关于你的其他观点:

为什么网站将他们的“网络应用程序”(如银行)放入单独的弹出窗口中?

我认为大多数使用单独浏览器窗口的网站(银行、保险公司和其他金融机构似乎真的很喜欢这个)可能会这样做,以便他们可以尝试控制浏览器“包围”他们的应用程序。特别是,他们似乎喜欢摆脱“后退”按钮的想法,以此来简化他们的设计。然而,浏览器窗口是一个浏览器窗口,使用它创建的窗口与window.open()任何其他浏览器窗口并没有太大区别。

可以覆盖弹出窗口阻止程序设置吗?

不,那个 HDFC 银行的例子是一个很好的例子。只有当您单击“登录”按钮时,才会出现他们的弹出窗口。因为那个“点击”是一个明确的用户启动的动作(不像,比如说,页面加载),浏览器将允许一个弹出窗口。对于任何网站都是如此;银行不必为此做任何特别的事情。您通常可以从“单击”事件处理程序中弹出弹出窗口,但您不能从 XHR 中的状态更改处理程序之类的东西中启动弹出窗口。

于 2010-12-25T19:02:11.937 回答
1

我认为问题在于弹出窗口经常用于广告,它们会惹恼用户。由于弹出窗口阻止程序的问题,您应该尽可能避免弹出窗口。我自己我从未听说过任何与弹出窗口特别相关的实际安全风险

于 2010-11-20T12:31:30.810 回答