Я слышал, как кто-то упоминал, что теоретически можно позиционировать невидимый iframe поверх содержимого и получать вход, который кто-то хочет вставить в форму. Как это возможно и не получить подозрение? Это пугает меня ...HTML/CSS/JS: Может ли пользователь вводить невидимую форму для перехвата (захвата)?
Да, это возможно! Это называется clickjacking, и это действительно реально. Проверьте это для получения дополнительной информации: http://en.wikipedia.org/wiki/Clickjacking
Михал Залевский, в Google, имеет теоретически пример (Источник: Page 1, Page 2):
Вредоносный страница в домене А может создать IFRAME указывает на применения в области в, к которому пользователя в настоящее время проверки подлинности с печенья, «сказал Залевский в сообщении к списку рассылки в четверг.» страница верхнего уровня может покрывать порции в IFRAME с другими визуальным Элементы для бесшовного скроя всего , но одна кнопка пользовательского интерфейса в домене B, , такая как «удалить все элементы», нажмите « », добавьте «Боб как друг» и т. Д. Затем он можетпредоставить [свой] собственный, вводящий в заблуждение интерфейс что подразумевает, что кнопка служит различной целью и является частью сайта , предлагая пользователю щелкнуть по нему.
+1 Я узнал о clickjacking из [NoScript] (http://noscript.net). – BoltClock
это жутко! – tekknolagi
Невозможно сделать это без привлечения подозрительности, кто-то всегда будет замечать. Если вы не являетесь стандартным пользователем, я бы порекомендовал вам попробовать загрузить noscript (плагин firefox). Это предотвращает запуск какого-либо веб-сайта на вашем личном белом списке javascript. Это должно облегчить многие ваши заботы! Я надеюсь! Я знаю, что это me чувствую себя лучше.
В сфере возможностей есть много глупых идей. :-)
Теоретически вы можете захватить форму и поместить область, которая захватывает входные данные. Это не просто упражнение, так как вам нужно подражать форме или выходить за пределы окна безопасности браузера. Это гораздо проще, чем фишировать с похожим видом.
Я вижу, что кто-то упомянул clickjacking, который захватывает событие click. В целом, это отличается от захвата формы, хотя его можно было использовать для прикрытия кнопки после заполнения формы. Еще раз, там она похожа на фиш-атаку, так как вы попадаете на их сайт. Без этого неправильного направления они не могут вставить JavaScript, необходимый для выполнения этой работы.
Что вы больше всего беспокоирите? Что кто-то может поразить ваш сайт и быть захвачен без другого сайта? Вряд ли. Чтобы людей можно было обмануть. Ну, PT Барнум научил нас, что каждый рождается каждый день.
Не бойтесь. Мы здесь для вас! – BoltClock
Это не ограничивается только HTML/CSS. Я считаю, что Flash также можно использовать для этого. –