如果他们没有阻止这种情况,攻击者可以将Facebook页面加载到透明的iframe中并在其下面添加一些有趣的内容.让我们知道受害者已经登录到Facebook然后访问攻击者的网站(过了一段时间,在另一个标签中).
受害者将点击攻击者网站上的内容.但实际上它是点击透明的iframe并在facebook网站上触发一些动作.浏览器当然会将会话cookie发送到Facebook,Facebook会看到登录用户的合法操作.
维基百科有一篇关于Clickjacking的文章:http://en.wikipedia.org/wiki/Clickjacking
使用http://www.webmasterworld.com/webmaster/4022867.htm中描述的非官方X-Frame-Option http标头可以防止这种攻击 .遗憾的是并非所有浏览器都支持它,因此也需要一个破坏java脚本的框架. .
| 归档时间: |
|
| 查看次数: |
4318 次 |
| 最近记录: |