Я слышал, как кто-то упоминал, что теоретически можно позиционировать невидимый iframe поверх содержимого и получать вход, который кто-то хочет вставить в форму. Как это возможно и не получить подозрение? Это пугает меня ...HTML/CSS/JS: Может ли пользователь вводить невидимую форму для перехвата (захвата)?
ответ
Да, это возможно! Это называется clickjacking, и это действительно реально. Проверьте это для получения дополнительной информации: http://en.wikipedia.org/wiki/Clickjacking
Михал Залевский, в Google, имеет теоретически пример (Источник: Page 1, Page 2):
Вредоносный страница в домене А может создать IFRAME указывает на применения в области в, к которому пользователя в настоящее время проверки подлинности с печенья, «сказал Залевский в сообщении к списку рассылки в четверг.» страница верхнего уровня может покрывать порции в IFRAME с другими визуальным Элементы для бесшовного скроя всего , но одна кнопка пользовательского интерфейса в домене B, , такая как «удалить все элементы», нажмите « », добавьте «Боб как друг» и т. Д. Затем он можетпредоставить [свой] собственный, вводящий в заблуждение интерфейс что подразумевает, что кнопка служит различной целью и является частью сайта , предлагая пользователю щелкнуть по нему.
+1 Я узнал о clickjacking из [NoScript] (http://noscript.net). – BoltClock
это жутко! – tekknolagi
Невозможно сделать это без привлечения подозрительности, кто-то всегда будет замечать. Если вы не являетесь стандартным пользователем, я бы порекомендовал вам попробовать загрузить noscript (плагин firefox). Это предотвращает запуск какого-либо веб-сайта на вашем личном белом списке javascript. Это должно облегчить многие ваши заботы! Я надеюсь! Я знаю, что это me чувствую себя лучше.
В сфере возможностей есть много глупых идей. :-)
Теоретически вы можете захватить форму и поместить область, которая захватывает входные данные. Это не просто упражнение, так как вам нужно подражать форме или выходить за пределы окна безопасности браузера. Это гораздо проще, чем фишировать с похожим видом.
Я вижу, что кто-то упомянул clickjacking, который захватывает событие click. В целом, это отличается от захвата формы, хотя его можно было использовать для прикрытия кнопки после заполнения формы. Еще раз, там она похожа на фиш-атаку, так как вы попадаете на их сайт. Без этого неправильного направления они не могут вставить JavaScript, необходимый для выполнения этой работы.
Что вы больше всего беспокоирите? Что кто-то может поразить ваш сайт и быть захвачен без другого сайта? Вряд ли. Чтобы людей можно было обмануть. Ну, PT Барнум научил нас, что каждый рождается каждый день.
- 1. Отметить, когда пользователь начинает вводить форму
- 2. Можно ли создать невидимую форму XFA?
- 3. Как может скрипт узнать, может ли пользователь вводить или нет?
- 4. Сделайте форму поиска, где пользователь не должен вводить каждое поле
- 5. Как иметь невидимую форму с видимыми кнопками
- 6. Есть ли способ проверить, может ли пользователь вводить уличные атрибуты с автозаполнением Google?
- 7. превратить сериализованную форму в невидимую форму и отправить
- 8. Услуги Vista: Может ли показать форму на невидимом рабочем столе?
- 9. Пользователь не может редактировать форму Lotus
- 10. Может ли cglib использоваться для перехвата прямого поля?
- 11. Rails: как пользователь может вводить данные в запрос активной записи?
- 12. курсор мигает, но не может вводить форму ввода
- 13. Может ли Угловой инжектор вводить метод?
- 14. Пользователь не может вводить текст, указатель вне границ Исключение
- 15. Может ли 'итератор' вводить только подкласс 'const_iterator'?
- 16. Вызовы перехвата/перехвата
- 17. VHDL, Может ли часовой процесс вводить защелки?
- 18. Может ли Windsor вводить списки компонентов?
- 19. Может ли шаблон посетителя вводить дополнительные параметры
- 20. Глобальный ввод перехвата клавиатуры
- 21. Анализ: Может ли пользователь создать другого пользователя?
- 22. Изменение css, когда пользователь начинает вводить ввод
- 23. Может ли HTMLUnit вводить данные в полях пароля?
- 24. Как определить, начинает ли пользователь вводить новое слово в JS?
- 25. Как определить, может ли пользователь запускать admin?
- 26. Может ли Phonon использоваться для захвата или транскодирования?
- 27. Может ли цикл while использоваться для захвата ошибок?
- 28. Добавление поля в форму PHP (пользователь может добавить несколько адресов)
- 29. Может ли пользователь вводить значение свободной формы в ComboBox, который еще не находится в коллекции Items?
- 30. Зачем вводить кнопку на форму не работает?
Не бойтесь. Мы здесь для вас! – BoltClock
Это не ограничивается только HTML/CSS. Я считаю, что Flash также можно использовать для этого. –