假设我拥有一个社交媒体网站。我想实现一个 iframe,允许用户通过第 3 方网站注册我的网站 - 很像 facebook 的“like this”iframe,但用于注册。
(顺便说一句,这只是一个假设的示例,我对以这种方式和其他方式在第三方网站上使用 iframe 的安全影响更感兴趣)。
为了做到这一点,我怎样才能防止出现以下情况:
- 第 3 方网站包含一个指向我网站注册流程的 iframe
- 他们将文本框放置在自己网站上的 iframe 上方,模仿我的注册表单的“电子邮件/密码”字段
- 然后,当人们尝试注册时,他们会收集用户电子邮件和密码。
我能想到的可以缓解这种情况的一件事是在 iframe 中随机定位元素。
有人能想到任何其他方法来针对此类攻击吗?
最佳答案
除了不在 iFrame 内的第三方网站上发布登录信息之外?没有...
这是网络钓鱼诈骗,而不是注入(inject)或您可以防范的任何其他诈骗 - 特别是因为它不在您的网站上......
你可以随机生成或任何你想要的东西,所有的人所要做的就是逆向工程你所做的来模仿它......
关于javascript - 如何防止 'type-jacking'?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/21053821/