我们正在创建一个网站,我们将向我们的用户发布代码片段,他们可以将这些代码片段放在他们自己的网站上。这些片段包含一个JavaScript包含的链接。点击链接时,会打开包含登录对话框的iframe。然后,用户在iframe内进行身份验证,完成他的工作,当他离开iframe时,他的会话关闭。我们已经准备好了,而且非常光滑。在iframe中有一个登录对话框是一个坏主意吗?
我们主要关心的是网络钓鱼。用户现在已经完全明白登录页面的来源。另一方面,即使用户可以在地址栏中看到伪造的url,phising攻击也是成功的。
你会在iframe中输入你的(OpenId)证书吗?有没有人知道一种模式,我们可以尽量减少网络钓鱼攻击的可能性?
很好的解释*为什么*允许在'iframe'内登录是一个坏主意! – ObscureRobot 2012-09-08 22:36:30