0
假设我拥有一个社交媒体网站。我想实现一个iframe,它允许用户通过第三方网站注册我的网站 - 非常类似于facebook的“像这样”iframe,但是用于注册。如何防止'打字'?
(这只是一个假设的例子,我更感兴趣的是以这种方式和其他方式在第三方网站上使用iframe的安全影响)。
为了做到这一点,我怎么能避免以下情况:
- 第三方网站包括iframe在自己的网站上面的指着我的网站注册流程
- 他们位置的文本框iframe,模仿我的注册表格中的“电子邮件/密码”字段
- 然后,他们在用户尝试注册时收集用户的电子邮件和密码。
我能想到的一件事可能会减轻这种情况是在iframe中随机定位元素。
任何人都可以想到任何其他方式来瞄准这种攻击?
这就是所谓的网络钓鱼。你根本无法缓解它;一个网站可以欺骗你的登录页面而不涉及你。 – SLaks
您的“登录页面”只包含一个链接。点击链接后,会打开一个新页面,在此处完成实际登录。但是,没有什么能够阻止恶意网站在自己的服务器上重新创建登录页面。 –