San*_*ath 5 browser security popupwindow
1.弹出窗口的安全风险究竟是什么?
新浏览器提供阻止窗口弹出窗口的设置(在阻止时,具有活动弹出窗口的站点向用户显示消息).弹出窗口的安全风险究竟是什么?如果允许弹出窗口可以执行危险的操作,那么主窗口也可以.情况并非如此.我想我不知道窗口弹出窗口的一些特殊功能.
2.弹出窗口的任何特殊功能?
以HDFC银行网银网站为例.整个网络银行会话在新窗口弹出窗口中发生,用户既不手动编辑URL也不在主浏览器窗口中粘贴URL.这是行不通的.此功能是否需要弹出窗口?它是否提高了安全性?(问,因为这个站点中的所有内容都围绕安全性 - 所以他们也必须这样做也是出于某种原因).为什么否则他们会在弹出窗口中实现整个网上银行?
3.是否可以覆盖浏览器的弹出窗口阻止设置
最后,即使在浏览器设置弹出窗口被阻止时,HDFC站点也会成功显示弹出窗口.那么,他们是如何做到的呢?这是一个浏览器黑客?
看到这个 -
您可以验证即使在浏览器设置中启用了弹出窗口/弹出窗口阻止程序,此站点也能够显示弹出窗口.
这个问题的答案表明,如果在浏览器设置中被阻止,则无法显示弹出窗口.
解决了
与Pointy的解决方案和评论的结论:
<a onclick="displayPopup();" href="#">
Click here for a popup - this will appear even if popups are blocked in browser settings.
</a>
这是一个演示相同的小提琴.
弹出窗口的“安全”风险是:
弹出窗口是一种著名的“网络钓鱼”技术。恶意网站可以使用弹出窗口来让用户相信来自受信任网站的重要消息已传递,并诱骗这些人点击某些恶意软件 URL(甚至可能只是点击本身就可能利用错误)。是的,网站的主页也可以这样做,但是精心设计的弹出窗口可能会分散用户的注意力,并且可能不会与敌对的主页直接相关。
弹出窗口被许多不良网站利用作为“诱捕”用户并从本质上强迫广告印象等的一种方式。在这方面,问题的安全方面实际上是用户对其自己的计算机的控制及其浏览欲望的安全性。
当现代浏览器从由显式用户操作触发的事件循环启动时,将允许弹出窗口。因此,如果用户单击“帮助我!”时发生这种情况,在单独的窗口中打开网站的“帮助”部分是完全可以的(忽略网页设计最佳实践)。按钮。此外,网站使用页内“伪窗口”在倒霉的访问者面前塞满内容已经变得很常见,而浏览器实际上无法采取任何措施来阻止这种情况。
编辑-至于你的其他观点:
为什么网站将银行等“网络应用程序”放入单独的弹出窗口中?
我认为大多数使用单独浏览器窗口的网站(银行、保险公司和其他金融机构似乎真的很喜欢这样做)可能这样做是为了尝试控制其应用程序的浏览器“环境”。特别是,他们似乎喜欢摆脱“后退”按钮的想法,以此作为简化设计的一种方式。然而,浏览器窗口就是浏览器窗口,使用它创建的窗口与window.open()任何其他浏览器窗口没有太大区别。
可以覆盖弹出窗口阻止程序设置吗?
不。HDFC 银行的例子就是一个很好的例子。仅当您单击“登录”按钮时,才会出现弹出窗口。因为“单击”是一个明确的用户启动操作(与页面加载不同),所以浏览器将允许弹出窗口。对于任何网站都是如此;银行不需要做任何特别的事情就可以发挥作用。您通常可以从“单击”事件处理程序中执行弹出窗口,但不能从 XHR 的状态更改处理程序之类的东西启动弹出窗口。