我们正在创建一个网站,我们将向我们的用户发布代码片段,他们可以将这些代码片段放在他们自己的网站上。这些片段包含一个JavaScript包含的链接。点击链接时,会打开包含登录对话框的iframe。然后,用户在iframe内进行身份验证,完成他的工作,当他离开iframe时,他的会话关闭。我们已经准备好了,而且非常光滑。在iframe中有一个登录对话框是一个坏主意吗?
我们主要关心的是网络钓鱼。用户现在已经完全明白登录页面的来源。另一方面,即使用户可以在地址栏中看到伪造的url,phising攻击也是成功的。
你会在iframe中输入你的(OpenId)证书吗?有没有人知道一种模式,我们可以尽量减少网络钓鱼攻击的可能性?
用户现在绝对可以将登录页面真正来自何处。
有办法解决这个问题,通过让用户选择一个秘密,真实的登录页面可以显示回来标识自己。通常这是通过容易识别的图片完成的。
但这不是唯一的问题。如果你允许你的登录页面被构建(并且用户期望这样做),你也可以开始点击劫持攻击。第三方网站可以构建您的登录页面,然后在其上面创建自己的HTML元素position: absolute。元素像直接输入你的顶部,嗅探每个按键来获取密码。
您可以允许一个简单的“开始登录过程”按钮进行构建,也可以是用户名/标识符,但是输入密码的表单必须在其自己的浏览器窗口中打开(在主窗口中或在弹出窗口中)带有自己的地址栏和SSL指示器。
你会在iframe中输入你的(OpenId)证书吗?
善良没有。
我会建议不要使用IFrame,因为他们击败可访问性,seo和语义,除非你想要那些被击败。如果您要求人们通过IFrame登录,那么您有一定的可访问性障碍,在某些国家可能会被视为具有法律歧视性。
很好的解释*为什么*允许在'iframe'内登录是一个坏主意! – ObscureRobot 2012-09-08 22:36:30