Man*_*gra 2 javascript security ajax
我正在寻找一个描述如何实现一个工作框架破坏者的指南,该框架也可以处理在浏览器中没有激活JS的人.
我读了这个非常好的问题,但我对"不要自己动手"或"也许试试......"这样的建议完全不感兴趣.我想看一篇论文,一步一步指导解释每一个"为什么"(没有可能和没有猜测).学术论文首选.
任何人都可以发布链接到这样做的事实上的圣杯纸吗?
谢谢,
说实话,我认为你所描述的是不可能的.如果我错了,请纠正我,但这似乎违反了相同的原产地政策.这是允许浏览器执行的"事实上的Holdy-Grail"文章:http: //code.google.com/p/browsersec/wiki/Main 请务必阅读第2部分.
*编辑: ClickJacking是一种攻击,可绕过未修补的Web浏览器中相同原始策略的各个方面.试图阻止可能来自未修补的浏览器的所有攻击是一项巨大的任务,因为考虑到该人很可能已被黑客入侵并且与BotNet分开.如果您真的担心易受攻击的Web浏览器,我建议阻止IE6及更低版本.